International Forums > German - Deutsch
Firewall-Regeln, Paketzustand new,established, etc.
Bytechanger:
Hallo,
ich steige gerade von Unifi USG auf OPNsense um.
Bei den Firewallregeln suche ich die Filter zum Zustand der Pakete, also:
neu, hergestellt, ungültig, zugehörig
(NEW, ESTABLISHED, RELATED, INVALID)
(iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT)
wo finde ich die?
Greets
Byte
superwinni2:
Erstelle eine Firewallregel und schau mal ganz unten... da gibts nen Knopf der klappt die erweiterten Einstellungen auf...
Ich denk da wirst du das finden was du suchst ;)
JeGr:
Andere Frage:
> Bei den Firewallregeln suche ich die Filter zum Zustand der Pakete, also: neu, hergestellt, ungültig, zugehörig
wofür brauchst du die? Prinzipiell ist es toll das zu haben, aber was willst du abbilden, dass du zusätzlich IP States bräuchtest? TCP Flags könnte ich noch verstehen...
fabian:
@JeGr: in iptables sind das die TCP-Zustände.
@Bytechanger: Musst du hier nicht explizit eintragen (und du kannst auch nicht drauf matchen). Du kannst aber pro Regel setzen wie du dein State-Tracking machen willst (keep state entspricht in etwa der Regel die du angegeben hast), daneben gibt's noch andere bzw. auch die Möglichkeit das zu deaktivieren wenn du das ernsthaft vor hättest.
Die Regel schaut übrigens in nftables so aus (falls du mal auf das neuere Linux-Firewall-System migrieren möchtest):
--- Code: ---ct state {established, related} accept
--- End code ---
JeGr:
> @JeGr: in iptables sind das die TCP-Zustände.
Was ja nichts an meiner Frage ändert, warum man die Zustände haben/filtern möchte? Flags wie gesagt kann ich nachvollziehen. Was will ich mit einer Regel zu einer bereits aufgebauten Verbindung machen? Der Corner-Case erschließt sich mir nicht ganz. Die Sensen sind ja gerade so gebaut, dass man nicht noch komplex mit States Regeln bauen muss/sollte. Daher die Rückfrage wofür überhaupt gewünscht, da vielleicht einfach falsche Annahme, dass man hier Regeln bauen muss, die überhaupt nicht notwendig sind? :)
Navigation
[0] Message Index
[#] Next page
Go to full version