am 22.03.2006, um 2:06:05 +0100 mailte Joachim Protze folgendes: > Andreas Kretschmer schrieb: > > am 20.03.2006, um 16:59:10 +0100 mailte Vladislav Vorobiev folgendes: > > > >>iptables -A INPUT -i ppp0 -p udp --dport 8000 -j ACCEPT #Webcam > > > > Warum Du willst DNAT, dann hat das nix in INPUT zu suchen. > > INPUT ist nur für Anfragen an den lokalen Rechner zuständig. > für DNAT brauchst du FORWARD
Korrekt. > > Eine ganze Menge. Sollte dies das gesammte Regelwerk sein, so erlaubst > > Du quasi alles. Naja, nicht ganz. Da fehlt eine Policy. Iptables kann > > Kann man machen, muß man aber nicht. Wenn man nur die Dienste aktiviert, > die man haben will, und die richtig konfiguriert, dann kann man sich > drop-Regeln eigentlich sparen. Die Pakete werden doch eh abgelehnt, wenn > kein Prozess an dem Port lauscht? Korrekt. Man kann sich iptables auch komplett sparen. > Stateful filtern bei den input-/output-Ketten seh ich ja grade noch ein, > wenn die eigene Sicherheitspolitik das verlangt. Bei forward-Ketten kann > ich das aber nicht nachvollziehen: ohne die entsprechenden Regeln Doch, schon. Ich habe hier z.B. VPN zwischen Firmenniederlassungen. Da will ich z.B. Mail erlauben, und da ist ein stateful filtern in FORWARD angenehm. > reagiert der Kernel auch nicht anders. Von außen werden nur Verbindungen > weitergeleitet, die schon bekannt sind (established), der Rest wird > abgelehnt, da nicht zuordenbar (new). Der einzige Anwendungsfall von Dem Kernel der forwardenden Maschine ist egal, was das für Pakete sind. Um 'established' zu erkennen, brauche ich halt genau dazu stateful. Andreas -- Andreas Kretschmer (Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net === Schollglas Unternehmensgruppe === -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
