Hi, > Elmar W. Tischhauser wrote:
> Tatsache, dass das /im Kernel/ implementierte Paketfiltern > GUI-Abh�ngigkeiten bekommt mindestens genauso haarstr�ubend wie die > Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend > konfigurierte Maschinen fahren zu k�nnen. Es handelt sich um ein Hilfsmittel f�r die Konfiguration, nicht f�r den Betrieb. > Interessiert man sich daf�r, welche "fremden" Pakete so alles aus dem > WAN bei einem aufschlagen, kann man diese von Netfilter fein s�uberlich > loggen lassen oder gleich mit Sniffern/einem NIDS arbeiten. Im Moment arbeite ich mit iptables -X iptables -N logdrop iptables -A logdrop -j LOG --log-prefix "IPTABLES Dead " iptables -A logdrop -j DROP # iptables -P FORWARD DROP iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -j logdrop # iptables -P INPUT DROP iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -A INPUT -i ippp+ -j logdrop -- mfg Matthias Taube -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
