> -------------------------- > ## Create chain which blocks new connections, > ## except if coming from inside. > iptables -N block > iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT > iptables -A block -j DROP > ## Jump to that chain from INPUT and FORWARD chains. > iptables -A INPUT -j block > iptables -A FORWARD -j block > --------------------------- > Verstehe ich es richtig, dass dadurch alle reinkommenden Pakete ueber > die Chain INPUT zur Chain block geleitet werden, wo > - alle Pakete akzeptiert werden, wenn sie zu einer bereits > bestehenden Verbindung gehoeren (ESTABLISHED) oder einer Verbindung, > die aus einer bereits bestehenden hervorgegangen ist (RELATED), > anschliessend
Richtig. > - alle Pakete akzeptiert werden, die zu einer neuen Verbindung > gehoeren (NEW), es sei denn, sie kommen ueber ppp0 (!ppp0), > anschliessend Richtig. Die Frage ist, warum nicht alle NEWs gedroppt werden sollen? Soll jemand über ein anderes Interface auf den Rechner zugreifen können, z. B. Ethernet? > - alle Pakete, die noch nicht akzeptiert sind, endgueltig gedropt > werden, > so dass im Endeffekt Richtig. > - Pakete, die ueber ppp0 kommen, nur akzeptiert werden, wenn ich > selbst die Verbindung initiiert habe bzw. die Verbindung aus einer > von mir initiierten hervorgegangen ist, Richtig. > - alle anderen Pakete aber unterschiedslos akzeptiert werden? Richtig. > Kann man das so machen, ohne dass Luecken bleiben? Wenn der Rechner nur über Modem mit einem anderen Rechner verbunden ist, ist die Config "lückenlos". Wenn aber einmal über ein Netzwerk ans Internet angestöpselt wird, z. B. Kabel oder ADSL, oder ISDN, dann muss man da erst eine Lücke schliessen, was leicht vergessen geht. Gruss Thiemo -- Werden Sie mit uns zum "OnlineStar 2002"! Jetzt GMX wählen - und tolle Preise absahnen! http://www.onlinestar.de -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
