Hallo zusammen,
ich habe einige Fragen bezüglich iptables. Was genau ist der Unterschied zwischen:
-m conntrack --ctstate und -m state --state? Und welche der beiden Varianten ist aktueller?
Des weiteren hatte ich ursprünglich eine Benutzereinschränkung über die UID für die Ports 80 und 443. Das Problem war das alles ging nur apt-get nicht mehr. Erlaubt war unter anderem die Benutzung der beiden Ports für die UID 0 also root damit apt-get verwendet werden kann. Ohne diese Benutzereinschränkung geht auch apt-get. Wo habe ich hier einen Denkfehler?
Grüße
iptables conntrack und andere Fragen
Re: iptables conntrack und andere Fragen
(edit: aus man iptables-extensions)
undconntrack
This module, when combined with connection tracking, allows access to the connection tracking state for this packet/connection.
[!] --ctstate statelist
statelist is a comma separated list of the connection states to match. Possible states are listed below.
Wahrscheinlich gibts da aus Sicherheitsgründen nen Userwechsel zu _apt, damit Downloads nicht als root durchgeführt werden.state
The "state" extension is a subset of the "conntrack" module. "state" allows access to the connection tracking state for this packet.
[!] --state state
Where state is a comma separated list of the connection states to match. Only a subset of the states unterstood by "conntrack" are recognized: INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED. For their description, see the "conntrack" heading in this manpage.
Re: iptables conntrack und andere Fragen
Technisch gesehen ersetzt Conntrack das frühere --state-Match, und somit ist --state eigentlich obsolet. Praktisch gesehen funktioniert auch --state weiterhin unverändert. Ich würde dennoch auf die Conntrack-Module setzen.aki hat geschrieben:27.03.2019 17:24:43Was genau ist der Unterschied zwischen:
-m conntrack --ctstate und -m state --state? Und welche der beiden Varianten ist aktueller?