Hi,
On Mon, May 11, 2009 11:53, Heiko Schlittermann wrote:
> * -A ineth -p udp -m udp --sport 53 -j ACCEPT
> -A ineth -p tcp -m tcp --syn -j DROP
> -A ineth -p tcp -m tcp --dport 1024: -j ACCEPT
> *) Was soll das?
Das soll zumindest besser sein als gar keine Firewall - was leider sehr
haeufig anzutreffen ist. Ich behaupte nicht alle Details ueber netfilter
zu wissen.
> Alles UDP, was von Port 53 kommt, ist gut?
Nein, nur 95% sind gut. Der Rest wird vom Resolver gefilter oder kaeme
auch durch eine Stateful-FW durch.
> Ich halte
> das für gewagt.
Ich auch.
> Von ``-m state --state ESTABLISHED,RELATED'' hälst Du nix?
Ich wuerde nicht sagen "nix", aber in diesem speziellen Fall: "relativ
wenig".
Auf der anderen Seite schadet es nicht. Ich werde es heute abend mal mit
in die Anleitung einbauen.
Wenn wir schon dabei sind und aus lauter Neugier: warum stossen Dir die
beiden Zeilen danach (s.o.) nicht auf? ;-)
Die sind die stateless-Fassung von
-A ineth -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
> Ist zwar auch nicht perfekt, aber wahrscheinlich besser als das
> o.a., oder bin ich blind?
Nein, Du bist nicht blind. Wenn Dir nochwas auffaellt lass' es mich wissen!
Konrad
_______________________________________________
Lug-dd maillist - [email protected]
https://ssl.schlittermann.de/mailman/listinfo/lug-dd
