iptables-Frage zu ESTABLISHED,RELATED

S

s24!

Registered User
Guten Nachmittag!

Wie in einem anderen Thread bereits erwähnt, verwende ich iptables für die Begrenzug von ausgehendem User-Traffic. Und weil 3000 Regeln relativ hart zu durchlaufen sind, macht es sicher Sinn, Pakete im ESTABLISHED- oder RELATED-State ohne weitere Überprüfung durchzulassen.
Ich finde hierzu immer folgendes:
Code: 
iptables [B]-A[/B] OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Soweit so gut. Aber: Macht es nicht viel mehr Sinn, die Regel an den Anfang zu setzen, also so?
Code: 
iptables [B]-I[/B] OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Denn wenn mich nicht alles täuscht, bringt diese Regel bei Variante 1 überhaupt gar nichts. ;)


Danke für Antworten! :)
 
Mag sein, dass ich mich täusche, aber soweit ich weiss, wird der State "related, established" für INPUT genutzt, um nur Verbindungen eingehend zuzulassen, die zu einer bestehenden Verbindung gehören, also Antwortpakete.

Warum sollte man das in einer OUTPUT Regel machen?
 
casper99 said:
Warum sollte man das in einer OUTPUT Regel machen?
Click to expand...
Weil ich ausgehenden User-Traffic (fsockopen z.B.) begrenze und dieser nunmal OUTPUT ist. Also brauche ich auch dort die Regel. :)

Beim INPUT wäre die Frage aber auch die gleiche. Schließlich macht es auch dort keinen Sinn, wenn iptables erst am Ende feststellt - nach allen Regeln - dass es nicht hätte prüfen müssen.
 
Ja, schlecht formuliert von mir da oben. ;)

Aber sehe ich es denn nun richtig, dass diese Regel am Anfang stehen muss um Sinn zu machen?


Grüße
 
Diese Regel muss natürlich als erstes durchlaufen werden, wenn du dir das Durchlaufen der anderen Regeln für bestehende Verbindungen sparen willst.

Entweder geht das durch ein iptables -A als erste Regel (Anfang des Scripts)
oder durch ein iptables -I zu einem beliebigen Zeitpunkt
-A => Append
-I => Insert
vergleichbar mit dem Editor vi.
 
Jesaja said:
Diese Regel muss natürlich als erstes durchlaufen werden, wenn du dir das Durchlaufen der anderen Regeln für bestehende Verbindungen sparen willst.
Click to expand...
Genau das wollte ich hören, danke. Wie ich das umsetze war gar nicht das Problem. =)
Aber: Laut d4f wird diese Regel nie zutreffen, weil die Verbindungen "immer wieder neu" von PHP kommen - wenn ich das richtig verstanden habe. :p
 
You must log in or register to reply here.
Back
Top