iptables - welche Variante der Regel?

[counterroot]

Heyho!

ich habe zwei möglichkeiten gefunden um ausgehendende Anfragen an http zu erlaben:

$IPTABLES -A INPUT -p tcp -i eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -o eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT

IMHO ist Variante 1 die besssere Lösung oder irre ich mich?
pmb µatthias

 

[chinamaschiene]

1 ist sinnvoll und funktioniert. bei der zweiten verstehe ich nicht was der port 1024 soll.

EDIT
natürlich solltest du aber auch dns erlauben falls das nicht schon der fall ist und wenn deine policy drop ist.
also udp port 53.

und wenn du https willst kannst du die gleiche regel nochmal kopieren und port 443 einsetzen.

ftp ist vielleicht nocht wichtig. das wird so aber geblockt. (viele download server)

 

[counterroot]

ay. thx for advices.
ftp öffnen? lustig drauf? bei mir gibts nur jailed ssh
dns hab ich bereits öffnen können:

echo "# allow DNS"
$IPTABLES -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -s $DNS_SERVER01 --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $DNS_SERVER01 --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -s $DNS_SERVER02 --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $DNS_SERVER02 --sport 53 -j ACCEPT

 

[chinamaschiene]

ups.. irgendwie hat ich grad meines desktop im kopf. forget it.

aber was ist denn der port 1024?

 

[counterroot]

das 1024: soll heißen, von bis in den höchsten port hinein von unten her kann ja keine anfrage kommen
grüße µatthias

 

[Sani]

Ich will iptables für Windows!!

 

[chinamaschiene]

und ich will DirectX für Linux!

den doppelpunkt hinter der 1024 hab ich übersehen.