iptables - INPUT, OUTPUT, FORWARD, ...?

[SNo0py]

Hi Leute,

ich hab mir über's Wochenende den Gentoo Security Guide angesehen und ganz verstehe ich die iptables noch nicht

Wann werden die Regeln aus INPUT, wann aus OUTPUT und wann aus FORWARD genommen?
Wann werden die NAT-Regeln angewendet? Warum steht im Guide
$IPTABLES -t nat -A POSTROUTING -o $INT1_INTERFACE -j MASQUERADE
-o und nicht -i???

Danke schon mal,

Mike
_________________
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.

[Larde]

INPUT: Alles, was den Firewall-Rechner als Ziel hat.
FORWARD: Alles, was über den Firewall-Rechner geroutet wird (von irgendwo reinkommt und nach irgendwo rausgeht)
OUTPUT: Alles, was vom Firewall-Rechner selbst rausgeht.

Jedes Paket durchläuft nur eine dieser Chains, ein FORWARD Paket geht also nicht etwas erst durch INPUT, dann FORWARD, dann OUTPUT.

Die Postrouting-Tabelle wiederum wird wieder von allen Paketen durchlaufen.
Die Regel $IPTABLES -t nat -A POSTROUTING -o $INT1_INTERFACE -j MASQUERADE besagt das alle Pakte die aus dem INT1_INTERFACE rausgehen maskiert werden sollen.

Hth,
Larde.
_________________
Someday this will be my home... http://moonage.net/
I'll make you a deal
I'll say I came from Earth and my tongue is taped

[SNo0py]

Danke für die rasche Antwort, das IN/OUT/FOR hab ich jetzt kapiert *jubel*

[Larde]

Nee, so wie Du das sagst hast Du recht, das macht dann keinen Sinn. Wo liegt dieser Security Guide? Ich habe nur den http://gentoo.org/doc/gentoo-security.html gefunden. He, stimmt, dort wird auch das innere Interface geNATted. Scheint mir ein Fehler zu sein.

Gruß,
Larde.
_________________
Someday this will be my home... http://moonage.net/
I'll make you a deal
I'll say I came from Earth and my tongue is taped

[SNo0py]

Jaja, den hab ich gemeint....
_________________
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.

[SNo0py]

So, ich hab jetzt nochmal nachgesehen - wie geht's jetzt:

-i aufs Interne Device ( $IPTABLES -t nat -A POSTROUTING -i $INT1_INTERFACE -j MASQUERADE )

oder

-o aufs Externe Device (iptables -t nat -A POSTROUTING -o $LAN_DEV -j MASQUERADE)

??

Danke,
Mike
_________________
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.

[Larde]

Ich benutze letzteres, natürlich auf meine eigene Konfiguration gemünzt. Du willst ja rausgehende Pakete maskieren, insofern klingt das für mich nur logisch.

Irgendwie machen mir iptables Spaß, vielleicht sollte ich mal versuchen, einen "iptables für Blonde" Guide zu schreiben, wie ihn neulich jmd. gesucht hat.

Oh, übrigens: http://www.linuxguruz.org/iptables/ aber der Link zum meiner Meinung nach bestem Tutorial funktioniert leider nicht mehr.
_________________
Someday this will be my home... http://moonage.net/
I'll make you a deal
I'll say I came from Earth and my tongue is taped

[Larde]

Ah, dies hier ist glaube ich recht gut: http://www.jollycom.ca/iptables-tutorial/iptables-tutorial.html

Ich glaube das ist das Tutorial, was mir am meisten einleuchtete, und mir einiges klargemacht hat.
_________________
Someday this will be my home... http://moonage.net/
I'll make you a deal
I'll say I came from Earth and my tongue is taped

[SNo0py]

Puh... da hab ich ja ganz schön Lesestoff vor mir
_________________
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.

[SNo0py]

Ich bin grad am Lesen und Studieren und firewall-Script schreiben und ich hab noch a Frage: wenn ich auf INPUT vom Internet nur Port 80 zulasse, muss ich dann bei OUTPUT auch Port 80 freigeben?
_________________
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.