Problem med å få Iptables til å fungere med bridge

[HeavyD]

Jeg har et problem med iptables og en bridge som sagt.

 

Det jeg vil er å stenge alt som går gjennom bridge'en også åpne for enkelte ting.

 

Jeg får stengt alt enten ved å sette FORWARD til drop eller legge til:

-A FORWARD -j Drop

 

Men når jeg da legger til untak som:

-A FORWARD -p tcp --dport 80 -j ACCEPT

så godtar den ikke det og slepper meg ikke gjennom.

 

Jeg passer på at disse untakene står først i tabellen. Jeg har også prøvd å spesifiere bridge'en med -i. Det hjelper ingen ting.

 

Det som er så rart er at hvis jeg setter FORWARD til accept så får jeg lov til å stenge enkel porter.

 

Noen som har efraing med dette, evt vet som en løsning?

[marsboer]

Ok, her er problemet ditt.

 

I det du setter denne regelen:

 

-A FORWARD -j DROP dropper du alle pakker som forwardes, det vil si at du dropper alle pakker både utgående og innkommende.

 

Det du gjør med

-A FORWARD -p tcp --dport 80 -j ACCEPT

 

er faktisk å akseptere forespørsler på port 80 både ut mot internett og inn mot dit eget nett. Med mindre du faktisk har en webserver inne i nettet ditt er dette en dårlig løsning. Det du må huske på er at dersom du sender en forespørsel ut mot en webserver på internett på port 80, så vil responsen, det vil si source-port hvis den skulle blitt definert i regelen over komme på en tilfeldig valgt port > 1023. Dette er det ikke åpnet for i regelen over. Du må huske på at du som regel må spesifisere en regel både for inngående og utgående data.

 

En bedre måte å implementere denne regelen på vil da være (dersom du ikke kjører en webserver innad i ditt eget nettverk)