Re: iptables-Regeln für mehrere devices
Hallo Dirk,
* On Tue, Aug 11, 2009 at 06:23:13PM +0200 Dirk Salva wrote:
> On Tue, Aug 11, 2009 at 12:26:33AM +0200, Paul Muster wrote:
> > > Nacheinander aufreihen geht ja nicht, da würden sich ja u.U. Regeln
> > > gegenseitig behindern
> > Nö, wieso sollten sie? Das Paket am in-interface ra0 matcht ja erst in
> > der zweiten Zeile. Bei der ersten wird es nicht berücksichtigt.
>
> $IPTABLES -A INPUT -i ! eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
> $IPTABLES -A INPUT -i ! eth0 -p icmp --icmp-type echo-request -j DROP
> $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> Nun, beispielsweise diese drei Regeln beziehen sich auf "alle
> Interfaces ausser eth0". Wie soll ich da "alle Interfaces ausser eth0
> und ra0" schreiben, wenn die Regeln eben für eth0 _und_ ra0 _nicht_
> gelten sollen?
ISt zwar lange her, dass ich darüber gelesen habe - und ich hoffe, dass
ich da nichts mit ipchains verwechsle (!) (ja, meine Erinnerung ist
nicht mehr die beste) - aber wäre es nicht möglich, beim Vorliegen von
Bedingungen in eine andere, neu erstellte Tabelle zu wechseln und dort
die Regeln zu testen?
Also etwa (bitte Syntax checken!)
$IPTABLES -N IcmpEcho
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j IcmpEcho
$IPTABLES -A IcmpEcho -i eth0 -j DROP
$IPTABLES -A IcmpEcho -i ra0 -j DROP
$IPTABLES -A IcmpEcho -j ACCEPT
(nur für die erste Regel von dir, die zweite entsprechend)
HTH,
Spiro.
--
Spiro R. Trikaliotis http://opencbm.sf.net/
http://www.trikaliotis.net/ http://www.viceteam.org/
Reply to: