hiho,
da ist etwas bei iptables das ich nicht verstehe - und zwar dieses neue match "-m match --state RELATED, NEW usw."
nehmen wir an ich stell meine INPUT policy auf DROP und muss daher alles was ich im web tun will explizit erlauben.
ich red hier nicht vom anbieten von services - sondern ganz normale dinge wie webseiten aufrufen - email abrufen usw.
denn fĂĽr all das muss ich ja auch traffic vom jeweiligen sport, ie. 80, zulassen.
so - frĂĽher - mit ipchains, hab ich das so erledigt :
ipchains -A input -p tcp --sport 80 ! --syn -j ACCEPT
und das ganze fĂĽr jedes remoteservice das ich benutzen wollte.
nun gibts aber da mit iptables dieses neue match modul - nämlich das wo man verbindungen die versch. states haben ansprechen kann.
und da hab ich jetzt auf www.linuxguruz.net iptables scripts gefunden die fĂĽr oben genannte situation NUR mehr 1 zeile verwenden die dann irgendwie so aussieht :
iptables -A INPUT -p tcp -m state --state RELATED, ESTABLISHED -j ACCEPT
und das ist dann eigentlich auch schon alles.....
dann hab ich aber wieder woanders auch ein iptables script gefunden der dasselbe so gelöst hat wie ich oben mit ipchains - nämlich jeden port einzeln freigeben.
und das versteh ich nicht - was ist jetzt richtig/besser ?
ich kann mir irgendwie nicht vorstellen dass diese obige zeile mit den states alles sein kann - kommt mir ein bisschen wenig vor.....
kann mir das jemand erklären ?
--qu