iptables/ebtables-Problem: Policy DROP Rules Accepten?

[Containy]

Hallo,

was für ein Threadtitel.

Also ich glaube ich habe ein Verständnisproblem

Auf einer Bridge läuft ebtables mit der Tabelle filter und 3 Chains:

INPUT

FORWARD

OUTPUT

Nun habe ich die Policy in der Chain FORWARD von ACCEPT auf DROP gesetzt.

Resultat: nix ging mehr. Das sollte auch so sein.

Danach hab ich eine Regel gemacht, die alle Verbindungen vom Rechner 192.168.66.20 zum Port 80 hinter der Bridge zulässt. Die Regel steht auch drin, aber ich bekomme keinen Zugriff auf Port 80, also die Internetverbindung funzt nicht.

#ebtables -L

Bridge table: filter

Bridge chain: INPUT, entries: 0, policiy: ACCEPT

[B]Bridge chain: FORWARD, entries: 1, policy: DROP

-p IPv4 --ip-src 192.168.66.20 --ip-proto tcp --ip-dport 80 -j ACCEPT[/B]

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT

Wo liegt mein Denkfehler?

Gruß,

Containy

[Kernel-Error]

Moin moin...

Regeln werden von oben nach unten abgearbeitet. Trift eine Regel zu wird diese angewand und ende. Alle folgenden Regeln kommen also nicht mehr dran!

Du solltest also erst erlauben was du erlauben willst und dann erst dropen!

So long...

 

[Containy]

Hoi Kernel-Error,

für was ist dann bitte die Policy?

Ich droppe doch nicht mehr als tausend Ports um einen aufzumachen.

Ich habe ja nur eine Regel. Die soll er meinetwegen gleich abarbeiten. Auf alles andere trifft die Policy zu!

Gruß,

Containy

[lordy]

Ich kenne ebtables kaum, aber kann ebtables TCP-Sessions erkennen ?

Wenn nicht (wovon ich eigentlich ausgehe) müßtest du natürlich auch die Antwortpakete explizit erlauben...