Werden in einem SSH-Server/einer SSH-Firewall (192.168.2.3), hinter dem/der ein LAN liegt, beispielsweise 192.168.2.1/30, die Verbindungsversuche der internen Maschinen des Netzwerks 192.168.2.1/30 von der Firewall als eingehende oder ausgehende Verbindungen interpretiert?
Wenn sie als eingehend oder ausgehend gelesen werden, muss ich dann den Ziel- oder Quelladressblock (192.168.2.1/30) angeben? Oder wann genau werden die Optionen -d oder -s benötigt?
Mein Verständnis ist folgendes: Wenn ich möchte, dass diese internen Maschinen neue Verbindungen zur Außenwelt herstellen, gilt die Regel wie folgt.
iptables -A OUTPUT -s 192.168.2.8/30 -m state --state NEW -j ACCEPT
und wenn der SSH-Server neue SSH-Verbindungen zur Außenwelt herstellen möchte, wäre die Regel diese
iptables -A OUTPUT -p tcp --sport 22 -m state --state NEW -j ACCEPT
Soll ich in diesem Fall die IP-Adresse des SSH-Servers weglassen oder in die Regel aufnehmen?
Vielen Dank.
Antwort1
INPUTund OUTPUTwerden ausschließlich in Bezug auf das System definiert, auf dem iptableses ausgeführt wird. Anders ausgedrückt: iptablesEs ist egal, welche Art von Systemen sich an einer seiner Schnittstellen befinden; es ist egal, ob eine Schnittstelle mit Ihrem vertrauenswürdigen LAN, einer DMZ oder einem Becken voller Haie mit Laptops verbunden ist.
INPUTbezieht sich immer auf den VerkehrEingabeeine Schnittstelle von außen, mit der Absicht, lokal zu enden. OUTPUTbezieht sich auf Verkehr, der lokal entstanden ist und im Begriff ist,verlassenüber eine Schnittstelle. FORWARDbezieht sich auf Datenverkehr, der durch eine Schnittstelle hinein- und durch eine andere direkt hinausgeht.
Das erste, das Sie oben zitieren, vermittelt den Verkehr vom 192.168.2.0/30LAN über eine Schnittstelle zur Außenwelt über eine andere, also sollten beide in der FORWARDKette sein. Das zweite vermittelt den Verkehr von der Firewall zur Außenwelt, also ist es so, wie es ist, in Ordnung.
Ich möchte jedoch nebenbei anmerken, dass dies kein wirkliches LAN ist und Sie die Netzmaske überprüfen sollten, da die Firewall im Kontext des LAN eine ungültige Adresse hat (es handelt sich um die Broadcast-Adresse, die keinem einzelnen Host zugewiesen werden sollte). Sieheunsere berühmte kanonische Frage zum IPv4-Subnettingzur weiteren Diskussion.