worker777 hat geschrieben: 06.06.2021 17:21:03
Zu 1.: Naja egal ob ich ein nslookup mache, oder z.B. apt den/die Debian-Server anfragt.
Ja und Nein. So einfach ist das nicht.
Es gibt mehrere Arten Namensauflösung zu machen, eine davon ist ne DNS Anfrage. Und wie die gemacht wird, gibt unterschiedliche Methoden. Ohne Dich jetzt mit Details zuwerfen zu wollen, entweder man greift auf nen externes Programm/Bibliothek (unspezifisch als "Resolver" bezeichnet) zurück oder macht die Anfrage im Programm selbst. Dann gibt's Unterschiede darin, welche Anfrage (Query) gestellt wird, und dann gibt's noch unterschiedliche Arten, wie man die Anfrage stellen kann, rekursiv/iterativ z.B., von Spezialzeug wie DNSSec mal ganz abgesehn. Bestimmte Queries (bzw deren Länge) bedeuten einfach, dass TCP sinnvoller ist, historisch war es UDP, heute je nach Anwendungsfalls und/oder System mal so mal so. Und um die Verwirrung zu perfektionieren gibts auch noch die nsswitch.conf.
worker777 hat geschrieben: 06.06.2021 17:21:03
Zu 2.: Stimmt, aber auch der Traffic wird doch in der default-Policy berücksichtigt, oder?
Für iptables ohne Erweitung gibt es nicht "den Traffic". Es gibt Pakete. Einzelne. Erstmal alles ohne Logik.
Das was-gehört-wozu kommt erst später (unter anderem durch die connection tracking Module).
Iptables arbeitet sein Regelwerk von oben nach unten ab, grundsätzlich gilt erstmal "erster Treffer zählt".
Wenn irgendwo beim Abarbeiten des Regelwerks nen "-j ACCEPT" kommt, darf das Paket passieren, kommt nen "-j DROP" eben nicht. Und die Policy sagt nur "was mach ich mit den Paketen, wenn ich unten angekommen bin und für die ich bis dahin noch nichts entschieden habe".
worker777 hat geschrieben: 06.06.2021 17:21:03
Zu 3. & nachfolgendem Text: Ich denke jetzt kommen wir der Sache etwas näher ^^ ...
Also, so wie ich das jetzt verstehe, läuft das so ab:
1. Ein Programm/Dienst macht eine ausgehende Verbindung ins Internet auf (z.B. DNS) - jetzt steht eine Leitung.
Nö. Unterschied TCP/UDP lies Dich da mal ein.
worker777 hat geschrieben: 06.06.2021 17:21:03
Auf dieser Leitung werden die angefragten Daten auf der selben Leitung zum betr. Dienst/Programm "rücktransportiert", ABER auch auf diesem "Rücktransport" greift die INPUT-chain ... richtig?
Nein, loopback (127.x.x.x) hat ne besondere Bedeutung und ist nicht das Lan lokale Interface. Dein Rechner hat noch ne weiteres "Netzwerkinterface" zumindest in der Logik der Paketvermittlung und damit bei iptables, das Rechner lokale, Pakete die der Rechner nur an sich selbst sendet, ohne dass sie physikalisch auf die Kabel kommen. Der Unterschied spielt ne wichtig Rolle. Und Dein Script erweckt den Eindruck, dass Dir der Unterschied noch nicht bewusst ist. Deswegen: Lokale IP (192.168.x.x zB ) ist nicht loopback (127.x.x.x)!
Lies nochmal dazu nochmal nach.