Frage zu iptables und loopback Schnittstelle

#0
12.02.2005, 14:10
Member

Beiträge: 12
#1 Hallo,

ich beschäftige mich seit 2 Wochen mit iptables, Protokollen etc.

Da ich nur einen Stand-Alone PC, also kein Netzwerk um mich herum habe, geht es irgendwie überhaupt nicht weiter. Das einzige womit ich im Moment "herumspielen" kann, ist der ping-Befehl.

Meine Frage:
Welche Dienste laufen über die Loopback Schnittstelle?

Mein Ziel:
Ich möchte erstmal mit iptables "warm" und versuche dies, indem ich Dienste die über loopback laufen zu verbieten oder zu gestatten.

Hintergrund:
Ich dachte alle Dienste laufen intern über die Loopback Schnittstelle, z.b starten des Webbrowsers, ping, drucken von Dokus, starten eines Mailprogrammes, alsa etc.

Zum Bsp. dachte ich mit dem Befehl das laden von html Dokus in FF verhindern zu können:
Iptables –A INPUT –s 127.0.0.1 –p tcp –dport 80 –j DROP

Zu gut deutsch heisst doch das: alles was über loopback reinkommt und das Protokoll tcp sowie den Zielport 80 hat soll verworfen werden.

Aber das klappt nicht. Html Dokumente werden trotzdem geladen, wahrscheinlich weil sie lokal auf der Festpatte liegen.

An welchen Diensten die über loopback laufen kann ich iptables ausprobieren?
Beispiele erwünscht!!!

Vielen Danke
Dirk

PS: Wie seit ihr in iptables eingestiegen?
Seitenanfang Seitenende
12.02.2005, 15:21
Moderator
Avatar joschi

Beiträge: 6466
#2 Ist ja schon ne Weile her, aber meinem Verständniss nach:
Iptables –A OUTPUT –s 127.0.0.1 –p tcp –dport 80 –j DROP

Wenn etwas vom localhost nach draußen will, wird das über OUTPUT geprüft.

Zitat

alles was über loopback reinkommt
Ich glaube das ist dein Denkfehler. Über das loopback kommt nichts rein.
Wenn, dann kommt etwas über das Interface rein. Hierfür ist die INPUT-Chain verantwortlich. Aber alles was über das Interface reinkommt, ist niemals 127.0.0.1 .
Sollte es zumindest nicht sein :p .


__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.02.2005, 17:25
Member
Avatar Xeper

Beiträge: 5291
#3

Zitat

Iptables –A INPUT –s 127.0.0.1 –p tcp –dport 80 –j DROP

Zu gut deutsch heisst doch das: alles was über loopback reinkommt und das Protokoll tcp sowie den Zielport 80 hat soll verworfen werden.
Falsch - richtig wäre "... alles was von localhost kommt ..." - Die Regel kann natürlich nur in dem Bezug angewandt werden das du auch auf 127.0.0.1 einen webserver hast und ihn von 127.0.0.1 abfragst.

127.0.0.1 ist localhost und 127.0.0.0/8 ist loopback. Loopback ist eigentlich nur dann interessant wenn man A) einen Dienst lokal nutzen möchte oder B) ein Dienst mit einem anderen lokalen Dienst kommunizieren muss. Von Außen kommt überhaupt nichts auf/durch das lo (loopback) interface. Das selbe gilt natürlich dann auch für localhost.

Zitat

Aber das klappt nicht. Html Dokumente werden trotzdem geladen, wahrscheinlich weil sie lokal auf der Festpatte liegen.
Eine Datei über das Dateisystem zu öffnen hat nichts mit den Netzwerkschnittstellen zu tuen.

Zitat

An welchen Diensten die über loopback laufen kann ich iptables ausprobieren?
Ein Beispiel hab ich bereits oben angesprochen, hau dir nen lokalen Webserver drauf der 127.0.0.1:80 abhört und dann kannst du das ausprobieren - jeder andere Dienst funktioniert natürlich auch (wie zb. SSH).
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
12.02.2005, 18:33
Member

Themenstarter

Beiträge: 12
#4 Danke ihr beiden.

Ich hatte befüchtet das ich mit meiner Erklärung daneben lag.

Mein Verständins war so:
- Loopback und localhost ist dasselbe.
Ich weiss zwar nicht wo der Unterschied ist, aber meine Annahme war falsch
- localhost ist für mich nur eine 'virtuelles Netzwerk' des PC's.
Wenn ich also eine Packet rausschicke, muss es auch wieder über localhost reinkommen, darum die Kette mit iptables -A Input ....

Danke für eure Hinweise

Dirk
Seitenanfang Seitenende
12.02.2005, 18:47
Member
Avatar Xeper

Beiträge: 5291
#5

Zitat

- Loopback und localhost ist dasselbe.
Ich weiss zwar nicht wo der Unterschied ist, aber meine Annahme war falsch
Könnte man so interpretieren ist aber nicht richtig, localhost ist vielmehr eine festgelegte Adresse (127.0.0.1) im loopback. Das passt schon besser, man könnte aber auch andere loopback adressen nutzen halt 127.0.0.0/8. Was manche Dienste ja auch tuen.

Zitat

- localhost ist für mich nur eine 'virtuelles Netzwerk' des PC's.
Eine Adresse im 'virtuellen Netzwerk'. ;)

Zitat

Wenn ich also eine Packet rausschicke, muss es auch wieder über localhost reinkommen, darum die Kette mit iptables -A Input ....
So ist es ;)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: