[fli4l] Mal wieder Frage z?==?utf-8?Q?ur Input-chain

[Peter Schiefer]

Hallo Klaus,

Am Thu, 26 Oct 2017 13:14:09 +0200 schrieb K. Dreier:

> Ich dachte mir dann, daß ich erstmal allen Zugriff auf den SSH Port
> verbiete, egal von wo. Und dann in einer weiteren Regel den Zugriff
> wieder für das interne LAN erlaube. Das ging schief:
> 
> PF_INPUT_POLICY='REJECT'        # be nice and use reject as policy
> PF_INPUT_ACCEPT_DEF='yes'       # use default rule set
> PF_INPUT_N='x'
> PF_INPUT_1='22 REJECT'
> PF_INPUT_2='prot:tcp IP_NET_2 22 ACCEPT' # NET_2= internes LAN

die Regel 2 kommt gat nicht mehr zum ZUG da durch Regel 1 ja bereits alle
Zugriffe auf Port 22 rejected werden
 
> Warum geht das nicht? Mein Verständnis ist, daß erst Regel 1
> angewendet wird und dann Regel 2. Wenn doch aber Regel 2 den Zugriff auf
> Port 22 wieder - wenn auch nur für das LAN - erlaubt, wieso kann ich
> dann von einem solchen NET_2-LAN-client nicht drauf?

weil Regel 1 zuerst greift und die Pakete gar nicht mehr von Regel 2
gesehen werden.

Die Paketfilter-Tabellen werden quasi von oben nach unter durchlaufen!

Schau Dir mal via SSH die Ausgaben von

iptables -nvL INPUT
iptables -nvL INPUT-head
iptables -nvL INPUT-middle
iptables -nvL INPUT-tail

an.

Und hier ist ssh/scp 22TCP definitiv nicht vom WAN aus möglich mit den
default Regeln - wie hast du getestet - von intern auf die WAN-IP wird
durch interne umleitungen im Netzwerkstack quasi ein Zugriff wie auf intern
direkt!

Gruß Peter