was ist neu in iptables - statefull inspection
Früher : statische Filter
Probleme : viele Ports müssen geöffnet werden wegen dynamischer antworten, portscanning sehr gut möglich.
Lösung : statefull inspection = connection tracking = Verfolgung
von TCP und UDP(pseudo) Verbindungen.
Nur verbindungsaufbauende Pakete müssen explizit erlaubt werden.
Verbindung ist dann registriert und kann auch gematcht werden.
Beispiel :
iptables -m state --state NEW -p tcp -i eth0 -o eth1 -d www.uugrn.de --dport
80 -j ACCEPT
iptables -m state --state ESTABLISHED -j ACCEPT
Auch Erkennen von zugehörigen Verbindungen möglich -> --state RELATED, interessant z.B für ftp
Gefahr : hohe Automatisierung, black box -> siehe auch exploit in <= 2.4.3 bzgl conntrack-ftp
