iptables -t filter -A INPUT -j REJECT -i eth1 -s ip.des.anfragenden.rechners<\/p><\/blockquote>\n
Es wird sichtbar, dass nun ping<\/em> mit „Destination Port Unreachable“ reagiert.<\/p>\nWelches der beiden Verfahren nun sicherer ist, wenn man iptables basierte Firewalls aufbaut, k\u00f6nnen wir im Anschluss ja endlos diskutieren.<\/p>\n
Manchmal hat man schon einen Knoten im Kopf: Zuerst setzte ich auf einen Apache in der VM, den man mit Hilfe von<\/p>\n
iptables -t filter -A INPUT -j DROP -i eth1 -s ip.des.anfragenden.rechners -p tcp –dport 80<\/p><\/blockquote>\n
gegen\u00fcber Anfragen von Au\u00dfen an Port 80 absichern kann.<\/p>\n
Aber das ist f\u00fcr den Einstieg a) zu komplex und b) zu langweilig, weil am anfragenden Firefox nicht zu sehen ist, ob nun DROP oder REJECT in der Chain steht: Er meckert halt rum, dass die Verbindung nicht zustande kommt.<\/p>\n
Lieber also den brutalen, weil auf alle Ports und alle Protokolle wirkenden Befehl oben zuerst verwenden und dann mit<\/p>\n
iptables -t filter -A INPUT -j DROP -i eth1 -s ip.des.anfragende.rechners -p icmp<\/p><\/blockquote>\n
einschr\u00e4nken, dabei zeigen, dass man dann noch per ssh auf die VM kommt, und dann weiter machen. Au\u00dferdem ist der allgemein gegen eine einzelne IP gerichtete Eintrag in iptables sicherlich der Befehl, den man im Alltag h\u00e4ufiger ben\u00f6tigt: Wenn eine IP schon geblockt werden muss, dann ja meist komplett.<\/p>\n","protected":false},"excerpt":{"rendered":"
F\u00fcr meine Linux AG habe ich nach einer einfachen M\u00f6glichkeit gesucht, wie man den Unterschied zwischen REJECT und DROP bei der Nutzung von iptables zeigen k\u00f6nnte. Ich denke, mit ICMP Paketen zeigt sich das deutlich genug: Ich nutze hierzu eine VM unter Debian, die \u00fcber eine Schnittstelle (eth1 – in VBOX dann bridge) direkt mit […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,10],"tags":[374,372,373],"class_list":["post-3374","post","type-post","status-publish","format-standard","hentry","category-linux","category-schule","tag-drop","tag-iptables","tag-reject"],"_links":{"self":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/3374","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3374"}],"version-history":[{"count":13,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/3374\/revisions"}],"predecessor-version":[{"id":3389,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/3374\/revisions\/3389"}],"wp:attachment":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3374"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3374"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3374"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"iptables](\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/03\/drop.png\")
<\/a><\/p>\n