On Monday 11 May 2009, Grimnin Fridyson wrote:
> > Das ACCEPT fuer TCP ist noetig, sonst funktionieren von innen
> > etablierte Verbindungen nicht. Das finale DROP am Ende meiner Chains
> > ist reine Paranoia - Absicherung gegen Konfigurationsfehler.
>
> hast du jetzt die ironietags vergessen

Nein.

> weil wenn eine Regel mir erlaubt reinzugehen auch wenn sie "falsch" ist
> macht ein drop es nicht wieder gut
>
>
> weil wie entscheidet ein "-A ineth -j DROP" über Konfigurationsfehler?

Es ist die Art der Konfigurationsfehler gemeint, bei der eine Regel *hinter* 
der Chain Blödsinn macht. Kleines Beispiel mit korrigierter Reihenfolge:

:INPUT DROP
:ineth -
:ineth2 -

-A INPUT -i eth0 -j ineth
-A ineth -p icmp -j ACCEPT
-A ineth -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -i eth1 -j ineth2
-A INPUT -i eth2 -j ineth2
-A ineth2 -j ACCEPT

Nehmen wir mal an eth0 ist aussen, eth1 und eth2 sind intern.

Sollte ich jetzt aus irgendeiner Dussligkeit heraus -i eth1 und -i eth2 
als -i eth+ zusammenfassen dann habe ich den Salat, weil alles akzeptiert 
wird statt wie erwartet auf eth0 nur ICMP und NTP zu erlauben.

Daher ein Paranoia-DROP am Ende jeder Device-Chain. Hat auch den netten 
Nebeneffekt dass es Protokolle abfängt von denen ich noch nix weiß (GRE, 
IP-in-IP, IP/Sec, SCTP, etc.pp.).

> habe nur mal kurz gelesen was mich persönlich etwas stört ist das man auf
> den Gedanken kommt UDP --> TCP setzen 'nur' auf IP auf

Ich hatte keine Lust alle Einzelheiten von TCP/IP zu erklären. Daher auch 
die Links auf Wikipedia.

Ja, TCP und UDP können auch auf IPv6 laufen und sie benutzen das 
Schwesterprotokoll ICMP für bestimmte Fehler und IPv4 benutzt auch noch ARP 
auf Link-Ebene (IPv6 benutzt da bestimmte neue ICMP-Messages).

Es ist nicht sonderlich sinnvoll ICMP oder ARP in einer Firewall zu 
behandeln (die Mode ICMP-Ping zu filtern ist vorbei).

Wo genau liegt Dein Problem? Was genau kann ich noch klarer schreiben? Muss 
ich wirklich TCP/IP Grundlagen komplett erklären?


        Konrad

Attachment: pgpfpbzTMw57w.pgp
Description: PGP signature

_______________________________________________
Lug-dd maillist  -  [email protected]
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Antwort per Email an