Re: iptables-Regeln für mehrere devices
- To: debian-user-german@lists.debian.org
- Subject: Re: iptables-Regeln für mehrere devices
- From: Sascha Reißner <reiszner@novaplan.at>
- Date: Thu, 13 Aug 2009 12:38:35 +0200
- Message-id: <1250159915.3033.8.camel@localhost.localdomain>
- In-reply-to: <20090812173745.GB11207@dserver.dnetz>
- References: <20090810192903.GA18013@dserver.dnetz> <1250096229.3037.3.camel@localhost.localdomain> <20090812173745.GB11207@dserver.dnetz>
Am Mittwoch, den 12.08.2009, 19:37 +0200 schrieb Dirk Salva:
> On Wed, Aug 12, 2009 at 06:57:09PM +0200, Sascha Reißner wrote:
> > $IPTABLES -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
> > $IPTABLES -A INPUT -i ra0 -p icmp --icmp-type echo-request -j ACCEPT
> > $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP
> > Sollte die policy von der Tabelle INPUT auf DROP gesetzt sein, kannst du
> > dir die letzte Regel ersparen.
>
> Das wäre dann sozusagen die umgekehrte Logik, aber genau das will ich
> ja nicht, weil ich dann für meine Verhältnisse recht viel ändern
> müsste, bei jeder Hardware-Änderung die iptables-Regeln beachten müsste
> _und_ das ganze auch noch für mehrere Rechner pflegen müsste.
> Eigentlich viel zu viel Aufwand für sowas. Gibt es wirklich keine
> Umschreibung, mit der ich "! (eth0|ra0)" erreichen kann???
Gut, anders herum.
$IPTABLES -N icmp_filter
$IPTABLES -A icmp_filter -i eth1 -j RETURN
$IPTABLES -A icmp_filter -i ra0 -j RETURN
$IPTABLES -A icmp_filter -j DROP
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j icmp_filter
Damit gehen alle ICMP-echo-request (egal von wo es kommt) in die Tabelle
icmp_filter.
Die Tabelle icmp_filter schickt alle echo-requests die von eth1 und ra0
kommen, wieder zurück in die Tabelle INPUT.
Alle anderen werden gedropt.
Die Regeln hab ich nur schnell aus dem Kopf niedergeschrieben, also
nicht blind übernehmen!
So besser jetzt ?
mfG Sascha
Reply to: