jonni jalass <[EMAIL PROTECTED]> wrote: > Am Freitag, 27. September 2002 16:04 schrieb [EMAIL PROTECTED]:
>> Richtig. Die Frage ist, warum nicht alle NEWs gedroppt werden sollen? >> Soll jemand �ber ein anderes Interface auf den Rechner zugreifen >> k�nnen, z. B. Ethernet? > Hm - werden nicht rechnerintern staendig neue Verbindungen aufgebaut, > die durch die INPUT-Chain laufen, zB zum X-Server, zum lpd-Server > usw.? Wuerden die nicht auch gedropt werden? Ja. W�rden, wenn nicht "! $external-device" stehen w�rde. > Oder haengt das zusammen mit dem lo-Interface (loopback?), Ja. > Soweit ich das begreife, wird das lo nur rechnerintern genutzt. NEWs > ueber lo koennen (und sollen) daher wohl akzeptiert werden. Ja. Bei mir kommt noch hinzu, das ich �ber eth0 "Internet" habe und �ber eth1 und eth2 das Intranet finde. Von dort sollen NEW connections (also SYN) erlaubt sein, von aussen aber nur auf speziellen Ports. Der Vorteil von Statefull gegen alles REJECTen, was das SYN-Bit gesetzt hat: active ftp funktioniert weiter, DNS, etc. Das wird n�mlich durch das RELATED durchgelassen, w�hrend solche Dinge bei einfachem REJECTen von SYN auch abgeschossen worden w�re. S� -- BOFH excuse #261: The Usenet news is out of date -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
