Kennt sich jemand mit Firewall rules aus?
-i -> ist das was reingeht
-o -> das was rausgeht
Stimmt das oder was sagt ihr?
2 Antworten
i und o beziehen sich auf die physikalische Schnittstelle. Auf logischer Ebene wären das -s und -d.
Und nein, das sieht nicht gut aus. Deine Einträge beziehen sich aufs FORWARDING, hier sollten zwei unterschiedliche Interfaces auftauchen, denn im Normalfall willst Du die Routinginstanz nicht mit unerwünschten Paketen belästigen, d.h. Du filterst auf beiden Seiten der Routinginstanz jeweils beim Eingang.
-o wird dann relevant, wenn Du bei Eingang noch nicht entscheiden kannst und erst beim Ausgang. Ein typisches Beispiel wären die Blackholes für private Adressräume, die willst Du routen, aber nicht auf Upstream-IFs rauslassen.
Willst Du es ganz fest zurren, dann hast Du zwei symmetrische Regeln mit jeweils inversen -i und -o.
Ja, so ist es. -i ens18 heißt: Das Eingangsinterface mutt ens18 sein. -o heißt: das Ausgangsinterface muss ens18 sein.
Nebenbei: Es geht nicht um Firewall rules oder Firewallregeln, sondern konkret um iptables, also einer Implementierung einer Firewall. Jede Firewall tickt da anders, hat eine andere Syntax.