Christian Schmidt <[EMAIL PROTECTED]> writes: > J�rg Sch�tter, 11.07.2004 (d.m.y): > >> On Sun, 11 Jul 2004 20:26:44 +0200 >> [EMAIL PROTECTED] (Mario Neudeck) wrote: >> >> > Folgende Regel ist mir nicht klar: >> > >> > iptables -A INPUT -p TCP ! --syn -m state NEW -j DROP >> > >> >> der Sinn dieser Regel ist folgender: Keiner kommt auf den Router, >> au�er lokal mittels Tastatur. > > Widersprechen sich die Optionen "! --syn und -m state NEW" nicht?
Nein, die eine bezieht sich auf eine Eigenschaft des Pakets, die andere darauf, was der Kernel �ber den Zustand der Verdindung wei�. Pa�t die Paketeigenschaft nicht zum Verbindungszustand (d.h. das Paket ist im aktuellen Zustand ung�ltig), wird es verworfen. > Ein gesetztes SYN-Flag im TCP-Paket signalisiert doch AFAIK den Wunsch > zum Aufbau einer Verbindung, oder? Ja. > Oder soll diese Form nur eine Kurzform fuer "-m state ESTABLISHED, > RELATED" darstellen? Nein. Martin -- ,--. Martin Dickopp, Dresden, Germany ,= ,-_-. =. / ,- ) http://www.zero-based.org/ ((_/)o o(\_)) \ `-' `-'(. .)`-' `-. Debian, a variant of the GNU operating system. \_/
