> -------------------------- > ## Create chain which blocks new connections, > ## except if coming from inside. > iptables -N block > iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT > iptables -A block -j DROP > ## Jump to that chain from INPUT and FORWARD chains. > iptables -A INPUT -j block > iptables -A FORWARD -j block > --------------------------- > Verstehe ich es richtig, dass dadurch alle reinkommenden Pakete ueber > die Chain INPUT zur Chain block geleitet werden, wo > - alle Pakete akzeptiert werden, wenn sie zu einer bereits > bestehenden Verbindung gehoeren (ESTABLISHED) oder einer Verbindung, > die aus einer bereits bestehenden hervorgegangen ist (RELATED), > anschliessend
Richtig. > - alle Pakete akzeptiert werden, die zu einer neuen Verbindung > gehoeren (NEW), es sei denn, sie kommen ueber ppp0 (!ppp0), > anschliessend Richtig. Die Frage ist, warum nicht alle NEWs gedroppt werden sollen? Soll jemand �ber ein anderes Interface auf den Rechner zugreifen k�nnen, z. B. Ethernet? > - alle Pakete, die noch nicht akzeptiert sind, endgueltig gedropt > werden, > so dass im Endeffekt Richtig. > - Pakete, die ueber ppp0 kommen, nur akzeptiert werden, wenn ich > selbst die Verbindung initiiert habe bzw. die Verbindung aus einer > von mir initiierten hervorgegangen ist, Richtig. > - alle anderen Pakete aber unterschiedslos akzeptiert werden? Richtig. > Kann man das so machen, ohne dass Luecken bleiben? Wenn der Rechner nur �ber Modem mit einem anderen Rechner verbunden ist, ist die Config "l�ckenlos". Wenn aber einmal �ber ein Netzwerk ans Internet angest�pselt wird, z. B. Kabel oder ADSL, oder ISDN, dann muss man da erst eine L�cke schliessen, was leicht vergessen geht. Gruss Thiemo -- Werden Sie mit uns zum "OnlineStar 2002"! Jetzt GMX w�hlen - und tolle Preise absahnen! http://www.onlinestar.de -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
