[gelöst] iptables: TCP-SYN-Flag -> Port 80/443

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
TomL

[gelöst] iptables: TCP-SYN-Flag -> Port 80/443

Beitrag von TomL » 06.11.2016 10:17:24

Moin @ all

Im Moment beschäftige ich mich mit den iptables. Ich tu das so ein wenig präventiv denkend und vorbereitend, weil ich noch nicht genau durchschaue, welche für mich relevante Änderungen durch IPv6 mit dem Wegfall von NAT begleitend eintreten. Unter anderem finde ich dieses Beispiel, welches man auch auf etlichen anderen Web-Seiten so oder ziemlich ähnlich ebenfalls vorfindet. Als erstes dachte ich "wenns alle so sehen, muss es wohl so richtig sein!", aber jetzt habe ich doch ein paar Zweifel. Es geht mir dabei um diese Passage:

Code: Alles auswählen

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
Diese Regel ist offensichtlich 'state-less', also erlaubt sie auch aus dem Web kommende Pakete mit dem TCP-SYN-FLAG (Anmerk.: damit sind von außen (!) initierte Pakete gemeint). Warum sollte man das auf einem normalen End-User-PC zulassen, wenn dort ausser dem Browser nix über Port 80/443 läuft? Ich habe das mal getestet und diese 2 Zeilen weggelassen. Das heisst, alle diese Pakete erreichen jetzt meinen default-DROP in den eigenen Regeln. Und was passiert nun? Gar nix.... es funktioniert alles genau so wie immer. Ich würde diese obige Einstellung vielleicht noch verstehen, wenn sie mit Tracking-State 'Established' versehen wäre, aber so kann ich das überhaupt nicht nachvollziehen.

Warum wird das *so* empfohlen, wenn doch auch die Zielgruppe Enduser-Debian das liest, bei denen kein Service auf 80/443 lauscht? Oder wo liegt der Fehler in meiner Interpretation?
Zuletzt geändert von TomL am 06.11.2016 11:00:31, insgesamt 1-mal geändert.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: iptables: TCP-SYN-Flag -> Port 80/443

Beitrag von dufty2 » 06.11.2016 10:28:27

TomL hat geschrieben: Warum wird das *so* empfohlen, wenn doch auch die Zielgruppe Enduser-Debian das liest, bei denen kein Service auf 80/443 lauscht? Oder wo liegt der Fehler in meiner Interpretation?
Der Fehler liegt daran, wenn man das angebliche "Enduser-Debian"-Howto nicht zu Ende liest:
Note: This HOWTO had been contributed by user Geejay to wiki.openvz.org as a part of installing container howto.

War also mal für container, sprich kleine Server gedacht, im speziellen Falle kleiner http(s)-Server.
Das dies eine Enduser-Doku sei, ist Deine Interpretation ;)

TomL

Re: iptables: TCP-SYN-Flag -> Port 80/443

Beitrag von TomL » 06.11.2016 10:59:18

Ich habe das natürlich gelesen. Aber leider bin ich mit meinem 50-Jahre alten Schulenglisch nicht immer imstande, alles korrekt zu verstehen. Den Begriff "Container" habe ich überhaupt nicht mit Server-Funktionalität in Verbindung gebracht. Wenn ich an Container denke, denke ich an mkv oder luks. :roll:

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: iptables: TCP-SYN-Flag -> Port 80/443

Beitrag von MSfree » 06.11.2016 12:00:09

TomL hat geschrieben:Wenn ich an Container denke, denke ich an mkv oder luks. :roll:
Als Container werden auch gerne virtueller Maschinen bezeichnet, z.B. Docker-Container. :wink:

Antworten