IP-TABLES - Connection Tracking - UDP ???

[juliangguenther]

Hallo,

ich hab mal ne Frage und zwar, wenn ich das Connection-Tracking in iptables nutze (für das protokoll UDP!!) muss dann die ausgehende Verbindung mit einem NEW Statement gekenzeichnet sein, oder geht das auch ohne? Sprich legt der sich die Connection Tracking Tabellenwerte auch an, wenn ich mit eine default OUT ALLOW-Policy arbeite.

Beispiel

Code: Select all

iptables -A OUTPUT -p udp -j ACCEPT

Mit dieser Rule erlaube ich sämtlichen ausgehenden UDP Traffic. Ich möchte nun, dass eingehende Verbindungen nur zugelassen werden, wenn sie zu einer ausgehenden Verbindung gehören. Also ein typisches Connection Tracking Szenario. Wenn ich jetzt für die eingehende Regel schreibe:

Code: Select all

iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT 

Funktioniert das dann auch?? Legt der sich dann automatisch bei jedem ausgehenden Paket auch einen Eintrag an

ODER !!

muss ich für die ausgehenden Pakete dafür das NEW statement verwenden.

Code: Select all

iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Danke
Julian

[dodolin]

muss ich für die ausgehenden Pakete dafür das NEW statement verwenden.

Nein, nicht nötig.
Kannst du leicht nachprüfen, indem du währenddessen mal /proc/net/ip_conntrack beobachtest. :)

[juliangguenther]

Hallo,

vielen Dank für die Antwort!

Julian

[picard666]

wie macht der das denn eigentlich bei udp? ist ja verbindungslos.. hält der den port dann für ne gewisse zeit offen?

[captaincrunch]

UDP is definitely not a connection oriented protocol, but in reality most
applications implement some two-way connection like protocol on top of UDP.
So netfilter UDP connection tracking just registers outgoing UDP traffic and
marks all incoming traffic for the same ip/port tuple as state ESTABLISHED.

Quelle: http://cvs.gnumonks.org/netfilter-tools ... web-markup