mat6937 hat geschrieben: 12.09.2017 14:40:36
scientific hat geschrieben: 12.09.2017 14:27:45
Eine Antwort von diesem Server wird DORT auf Port 443 weggeschickt oder auch auf einem unprivilegierten zurück an meinen 443 oder an Port $irgendwo_über_1024?
Nein, dein Port 443 wird nicht verwendet. Eine Antwort vom Server, wird vom Server mit dem source-Port 443 auf den dst-Port (der bei deiner Anfrage source-Port war) auf deinem Rechner, gesendet.
Das heißt, das verworfene Paket in meinem OP ist die Antwort auf eine Anfrage von meinem Rechner an Googles https-Service?
Für einen Rechner, auf dem sowohl ein Webserver läuft (probehalber, bis ich eine eigene Maschine dafür habe) und auf dem auch gesurft wird, wie müssten dann die iptables aussehen?
Code: Alles auswählen
# Sie erlauben zunächst das Einlangen von Paketen zu schon bestehenden Verbindungen:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# HTTP,HTTPS
-A INPUT -p tcp --dport 80 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp --dport 443 --sport 1024:65535 -j ACCEPT
# Standardverhalten der Ketten festlegen
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Multiports allow outbound HTTP(S)
-A OUTPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
Oder ist das Käse?
Die erste INPUT-Regel erlaubt ja eingehenden Datenverkehr, sofern ein ausgehender Datenverkehr erlaubt wurde, und diese die Pakete die Antworten sind. (generell)
Die nächsten beiden INPUT-Regeln erlauben den Zugriff auf den hier laufenden Webserver auf Port 80 und 443.
Die erste OUTPUT-Regel erlaubt Antworten auf erlaubte Anfragen an meinen Server (generell)
die letzte OUTPUT-Regel erlaubt http(s)-Anfragen nach draußen mit dem Zielport 80 bzw. 443. Also wenn ich mit meinem Browser auf der Maschine irgend eine Website ansteuere.
Habe ich hier einen Gedankenfehler?
Und wenn nein, warum wird dann das Paket abgelehnt?
lg scientific