Ich habe mal eine Frage zur Firewall. Da gibts die Port and Web-Filter Chain. Die hat per default als Out-Interface das externe Interface (bei mir ppp_1_32_1) und als Source-Adresse den internen IP-Bereich (bei mir 192.168.24.0/24) gesetzt. Diese Regel ist zweimal in die Forward-Chain eingefügt. Einmal mit dem externene Interface (ppp_1_32_1) als Out-Interface und ein zweites mal mit dem externen Interface als In-Interface. Macht die zweite Variant Sinn? Von extern zu extern soll nicht geroutet werden und über das externe Interface können auch keine internen IP-Adressen kommen.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Die zweite Variante macht schon Sinn, denn rücklaufende Pakete kommen ja am externen Interface an und werden nach intern gerouted. Diese Pakete müssen auch auf entsprechende Filter-Strings etc. untersucht werden.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
245K 13M PORT_AND_WEB_FILTER all -- * ppp_1_32_1 0.0.0.0/0 0.0.0.0/0 421K 622M PORT_AND_WEB_FILTER all -- ppp_1_32_1 * 0.0.0.0/0 0.0.0.0/0
Chain PORT_AND_WEB_FILTER (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- * ppp_1_32_1 192.168.24.0/24 0.0.0.0/0 mport dports 3544 666K 635M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Die zweite Regel in der FORWARD chain kann ja nur Pakete verwerfen, wenn in=ppp_1_32_1 und out=ppp_1_32_1 ist. Solche Pakete kann es eigentlich nicht geben.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Ich habe mal eine Frage zur Firewall. Da gibts die Port and Web-Filter Chain. Die hat per default als Out-Interface das externe Interface (bei mir ppp_1_32_1) und als Source-Adresse den internen IP-Bereich (bei mir 192.168.24.0/24) gesetzt. Diese Regel ist zweimal in die Forward-Chain eingefügt. Einmal mit dem externene Interface (ppp_1_32_1) als Out-Interface und ein zweites mal mit dem externen Interface als In-Interface. Macht die zweite Variant Sinn? Von extern zu extern soll nicht geroutet werden und über das externe Interface können auch keine internen IP-Adressen kommen.
Die zweite Variante macht schon Sinn, denn rücklaufende Pakete kommen ja am externen Interface an und werden nach intern gerouted. Diese Pakete müssen auch auf entsprechende Filter-Strings etc. untersucht werden.
Die zweite Regel in der FORWARD chain kann ja nur Pakete verwerfen, wenn in=ppp_1_32_1 und out=ppp_1_32_1 ist. Solche Pakete kann es eigentlich nicht geben.