[gelöst] Verständnisfrage iptables

[getphp]

Hallo,

ich spiele gerade mit iptables herum und verstehe da (trotz Lesen von Doku) etwas nicht.

Mein Ziel:
SSH und ausgehende Verbindungen erlauben, alles andere nicht:

Code: Alles auswählen

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -j REJECT

wird erwartungsgemäß zu:

Code: Alles auswählen

# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Leider geht jetzt ein apt-get update oder andere ausgehende Verbindungen nicht mehr. Nur dann, wenn ich "iptables -A INPUT -j REJECT" wieder lösche.
Was ich dachte, mit "OUTPUT" erlaubt zu haben ... Offenbar habe ich das mit "INPUT" falsch verstanden. Kann mir bitte jemand sagen, wo es hakt?

Vielen Dank.

[4A4B]

Leider geht jetzt ein apt-get update oder andere ausgehende Verbindungen nicht mehr.

Die Antwort-Pakete sind aber eingehend und werden dann verworfen. Mit dem Modul state kannst du eingehende Pakete bestehender Verbindungen erlauben:

Code: Alles auswählen

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[getphp]

Ah, so! Super, vielen Dank.