On 22 Feb 1999 21:06:00 +0100, Marc Haber <[EMAIL PROTECTED]> wrote: >On 22 Feb 1999 06:51:49 GMT, you wrote: >>On 22 Feb 1999 06:05:45 +0100, >> Marc Haber <[EMAIL PROTECTED]> wrote: >>>Das liegt aber nicht nur am 2.2-Kernel, das war bei 2.0 genauso. >> >>Der hat die Route aber nicht selber gesetzt, wenn das device per >>ifconfig eingerichtet wurde. >>Da hatte man Zeit, ipfwadm einzusetzen. >>Bei Kernel 2.2 ist die Route sofort da. > >Ah, das ist in der Tat gefährlich. Ich hatte das in meinen zwanzig >Minuten 2.2.1 noch nicht bemerkt. Kann man das nicht abstellen?
Nicht, ohne den Source zu patchen. >>>"Default policy" auf deny and log >>>Interface anlegen >>>Restfirewall hochziehen >>> >>>Was wäre daran flasch? >> >>Geht das? > >Keine Ahnung, ich hab's noch nicht ausprobiert. Aber warum sollte es >nicht gehen? Ich hab' leider gerade kein passendes Testsystem >greifbar. Wenn die Regeln den devices zugeordnet werden, könnte es sein, daß ein später definiertes Interface diese Regeln nicht sieht. Das wäre natürlich tödlich, wenn man `ifconfig eth0 down` mit anschließender Neukonfiguration macht und die Regeln nicht neu definiert. >>Gilt diese default-policy auch für neue interfaces? >>Wenn ja, dann wäre gut. > >Davon würde ich ausgehen, da die default policy ja dann greift, wenn >keine andere passende Regel gefunden wurde. Und da bei einem neuen >Interface per definitionem noch keine Regeln da sein können, wäre es >sehr unlogisch und IMHO ein severe bug, wenn die default policy da >nicht greifen würde. Kannst Du das mal testen? So als der Firewall-Mensch :-) >>Sorry. Verschrieben. Richtig ist: >>cat (0|1) >/proc/sys/net/ipv4/ip_forward > >Ah, danke. Wo ist das dokumentiert? Keine Ahnung. Wahrscheinlich im Source und in den Archiven diverser Newsgroups. >|[EMAIL PROTECTED]:/mnt/maindisk/home/mh > rgrep -r ip_forward >/usr/src/linux/Documentation/* >|/usr/src/linux/Documentation/Changes: echo 1 > >/proc/sys/net/ipv4/ip_forwarding >|[EMAIL PROTECTED]:/mnt/maindisk/home/mh > > >Die Erwähnung in einem Nebensatz der Changes kann's ja wohl nicht >sein, oder? Doch :-) Hier der Auszug aus Changes: -------------------------------------------------------------------- To turn on IP forwarding, issue the following command: echo 1 > /proc/sys/net/ipv4/ip_forward Similar procedures are necessary to turn on other features. If something appears broken, check the /proc/sys/net/ipv4/ directory. "1" generally denotes enabled, while "0" generally denotes disabled. -------------------------------------------------------------------- Eigentlich ist das doch gut dokumentiert :-) Ciao -- Rainer Nagel [EMAIL PROTECTED] Duesseldorfer Linux User Group - http://www.hsp.de/~dlug ------------------------------------------------ Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body "unsubscribe debian-user-de <deine emailadresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ------------------------------------------------ Anzahl der eingetragenen Mitglieder: 654
