/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Iptables simpelt Q
Fra : Michael Andreasen

Dato : 20-10-02 14:15
Hvis jeg åbner med:

iptables -A INPUT -j ACCEPT -p tcp --dport 80

Skal der så være noget "state related", ligesom med forward hvor jeg har:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

--
Mvh
Michael

 
 
Jimmy (20-10-2002)
Kommentar
Fra : Jimmy

Dato : 20-10-02 14:21
"Michael Andreasen" <maskinen2000@hotmail.com> wrote in message
news:aoua8b$9i0$1@sunsite.dk...
> Hvis jeg åbner med:
>
> iptables -A INPUT -j ACCEPT -p tcp --dport 80
>
> Skal der så være noget "state related", ligesom med forward hvor jeg har:

Nej.
Det er kun i de tilfælde, hvor din maskine har initieret trafikken og svaret
komemr tilbage.
F.eks. ping www.dr.dk og svaret skal så accepteres vha STATE.

Men hvis din maskine er webserver og kun skal bruge trafikken til og fra
port 80 er din første linie nok.

Har du da et konkret problem du ønsker at løse?

Mvh
Jimmy



Michael Andreasen (20-10-2002)
Kommentar
Fra : Michael Andreasen

Dato : 20-10-02 14:28
Jimmy wrote:
> Nej.
> Det er kun i de tilfælde, hvor din maskine har initieret trafikken og
> svaret komemr tilbage.
> F.eks. ping www.dr.dk og svaret skal så accepteres vha STATE.
>
> Men hvis din maskine er webserver og kun skal bruge trafikken til og fra
> port 80 er din første linie nok.
>
> Har du da et konkret problem du ønsker at løse?

Nej... Prøver bare at forstå iptables

tak for hjælpen

Mvh
Michael

Michael Andreasen (20-10-2002)
Kommentar
Fra : Michael Andreasen

Dato : 20-10-02 15:03
Jimmy wrote:
> Nej.
> Det er kun i de tilfælde, hvor din maskine har initieret trafikken og
> svaret komemr tilbage.
> F.eks. ping www.dr.dk og svaret skal så accepteres vha STATE.

Hvis jeg forstår dig ret, så vil det altså kræve STATE hvis f.eks. lynx
eller wget henter noget via cron?

--
Mvh
Michael

Jimmy (20-10-2002)
Kommentar
Fra : Jimmy

Dato : 20-10-02 15:57
"Michael Andreasen" <maskinen2000@hotmail.com> wrote in message
news:aoud3j$jqa$1@sunsite.dk...
> Jimmy wrote:
> > Nej.
> > Det er kun i de tilfælde, hvor din maskine har initieret trafikken og
> > svaret komemr tilbage.
> > F.eks. ping www.dr.dk og svaret skal så accepteres vha STATE.
>
> Hvis jeg forstår dig ret, så vil det altså kræve STATE hvis f.eks. lynx
> eller wget henter noget via cron?

Det er min opfattelse ja.
Du åbner en forbindelse ud til.
Det har du givet din maskine lov til.

Når de så svarer vil det se ud som om det er uvedkommende/hacking trafik
udefra, men hvis du har angivet STATE vil iptables kunne slå op i sin
database og se, at det faktisk er et forventet svar, som skal igennem.

Mvh
Jimmy



Kent Friis (20-10-2002)
Kommentar
Fra : Kent Friis

Dato : 20-10-02 15:57
Den Sun, 20 Oct 2002 16:03:28 +0200 skrev Michael Andreasen:
>Jimmy wrote:
>> Nej.
>> Det er kun i de tilfælde, hvor din maskine har initieret trafikken og
>> svaret komemr tilbage.
>> F.eks. ping www.dr.dk og svaret skal så accepteres vha STATE.
>
>Hvis jeg forstår dig ret, så vil det altså kræve STATE hvis f.eks. lynx
>eller wget henter noget via cron?

Det har intet med cron at gøre. State fortæller om en connection
allerede findes, og derved slipper man for at tænke på andet end
"skal han have love til at oprette en ny connection".

Om det så sker fordi wget bliver kaldt fra cron, eller fordi brugeren
sidder og skriver www.yahoo.com i browseren, det gør ingen forskel.

--state NEW: Ny connection

--state ESTABLISHED: Denne connection findes allerede. Normalt vil
man altid allow denne, for ikke at knække halsen på en connection.

--state RELATED: Som established, bare for specielle protokoller, der
bruger mere end en connection (fx FTP). Når styre-connection er åben,
så hører data-connection under RELATED.

Mvh
Kent
--
If I wanted a blue screen, I would type "xsetroot -solid blue"
- not D:\WINNT\SETUP

Bo Simonsen (20-10-2002)
Kommentar
Fra : Bo Simonsen

Dato : 20-10-02 15:14
Michael Andreasen wrote:

> Hvis jeg åbner med:
> iptables -A INPUT -j ACCEPT -p tcp --dport 80
> Skal der så være noget "state related", ligesom med forward hvor jeg har:
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Når du laver det staterelateret, er det nok fordi, at du explicit vil
lukke for alle porte, og have udgående forbindelser til at virke
alligevelle.

Altså min pointe er, at hvis du ikke laver det staterelateret, kan der
ikke komme trafik ud og ind til maskinen.

--
Mvh. Bo
Homepage: http://bo.geekworld.dk | Fidonet: 2:236/100
Linux! The choice of a GNU generation.


Jimmy (20-10-2002)
Kommentar
Fra : Jimmy

Dato : 20-10-02 15:58
"Bo Simonsen" <bo@geekworld.dk> wrote in message
news:3DB2BA3B.4030802@geekworld.dk...
> Michael Andreasen wrote:
>
> > Hvis jeg åbner med:
> > iptables -A INPUT -j ACCEPT -p tcp --dport 80
> > Skal der så være noget "state related", ligesom med forward hvor jeg
har:
> > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> Når du laver det staterelateret, er det nok fordi, at du explicit vil
> lukke for alle porte, og have udgående forbindelser til at virke
> alligevelle.
>
> Altså min pointe er, at hvis du ikke laver det staterelateret, kan der
> ikke komme trafik ud og ind til maskinen.

Der kan da godt komme trafik ud af maskinen.
Det styres jo af hans OUTPUT-regler.

Der kommer fint trafik ind på maskinen - men kun på port 80.

Hvis der skal trafik ind på andre porte skal det være STATE.

Mvh
Jimmy



Søg
Reklame
Statistik
Spørgsmål : 177556
Tips : 31968
Nyheder : 719565
Indlæg : 6408866
Brugere : 218888
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.