# iptables - INPUT, OUTPUT, FORWARD, ...?

## SNo0py

Hi Leute,

ich hab mir über's Wochenende den Gentoo Security Guide angesehen und ganz verstehe ich die iptables noch nicht  :Sad: 

Wann werden die Regeln aus INPUT, wann aus OUTPUT und wann aus FORWARD genommen?

Wann werden die NAT-Regeln angewendet? Warum steht im Guide

  $IPTABLES -t nat -A POSTROUTING -o $INT1_INTERFACE -j MASQUERADE 

-o und nicht -i???

Danke schon mal, 

Mike

----------

## Larde

INPUT: Alles, was den Firewall-Rechner als Ziel hat.

FORWARD: Alles, was über den Firewall-Rechner geroutet wird (von irgendwo reinkommt und nach irgendwo rausgeht)

OUTPUT: Alles, was vom Firewall-Rechner selbst rausgeht.

Jedes Paket durchläuft nur eine dieser Chains, ein FORWARD Paket geht also nicht etwas erst durch INPUT, dann FORWARD, dann OUTPUT.

Die Postrouting-Tabelle wiederum wird wieder von allen Paketen durchlaufen.

Die Regel  $IPTABLES -t nat -A POSTROUTING -o $INT1_INTERFACE -j MASQUERADE besagt das alle Pakte die aus dem INT1_INTERFACE rausgehen maskiert werden sollen.

Hth,

Larde.

----------

## SNo0py

Danke für die rasche Antwort, das IN/OUT/FOR hab ich jetzt kapiert *jubel*

 *Larde wrote:*   

> 
> 
> Die Postrouting-Tabelle wiederum wird wieder von allen Paketen durchlaufen.
> 
> Die Regel  $IPTABLES -t nat -A POSTROUTING -o $INT1_INTERFACE -j MASQUERADE besagt das alle Pakte die aus dem INT1_INTERFACE rausgehen maskiert werden sollen.
> ...

 

hier hab ich noch Probleme: ==> diese Zeile hab ich aus dem Security Guide - die sollte NAT aktivieren - alles was beim internen Interface rausgeht (d.h zum internen Netz) wird maskiert? Macht das Sinn? Was ist mit Paketen vom internen Netz ins Internet (externe Netz)?

----------

## Larde

Nee, so wie Du das sagst hast Du recht, das macht dann keinen Sinn.  :Smile:  Wo liegt dieser Security Guide? Ich habe nur den http://gentoo.org/doc/gentoo-security.html gefunden. He, stimmt, dort wird auch das innere Interface geNATted. Scheint mir ein Fehler zu sein.  :Smile: 

Gruß,

Larde.

----------

## SNo0py

Jaja, den hab ich gemeint....

----------

## SNo0py

So, ich hab jetzt nochmal nachgesehen - wie geht's jetzt:

-i aufs Interne Device ( $IPTABLES -t nat -A POSTROUTING -i $INT1_INTERFACE -j MASQUERADE )

oder

-o aufs Externe Device (iptables -t nat -A POSTROUTING -o $LAN_DEV -j MASQUERADE)

??

Danke,

Mike

----------

## Larde

Ich benutze letzteres, natürlich auf meine eigene Konfiguration gemünzt. Du willst ja rausgehende Pakete maskieren, insofern klingt das für mich nur logisch. 

Irgendwie machen mir iptables Spaß, vielleicht sollte ich mal versuchen, einen "iptables für Blonde" Guide zu schreiben, wie ihn neulich jmd. gesucht hat.  :Wink: 

Oh, übrigens: http://www.linuxguruz.org/iptables/ aber der Link zum meiner Meinung nach bestem Tutorial funktioniert leider nicht mehr.

----------

## Larde

Ah, dies hier ist glaube ich recht gut: http://www.jollycom.ca/iptables-tutorial/iptables-tutorial.html

Ich glaube das ist das Tutorial, was mir am meisten einleuchtete, und mir einiges klargemacht hat.

----------

## SNo0py

Puh... da hab ich ja ganz schön Lesestoff vor mir   :Shocked: 

----------

## SNo0py

Ich bin grad am Lesen und Studieren und firewall-Script schreiben und ich hab noch a Frage: wenn ich auf INPUT vom Internet nur Port 80 zulasse, muss ich dann bei OUTPUT auch Port 80 freigeben?

----------

