Konrad Rosenbaum <[email protected]> (Mo 11 Mai 2009 18:11:45 CEST): > On Monday 11 May 2009, Grimnin Fridyson wrote: > > > Das ACCEPT fuer TCP ist noetig, sonst funktionieren von innen > > > etablierte Verbindungen nicht. Das finale DROP am Ende meiner Chains > > > ist reine Paranoia - Absicherung gegen Konfigurationsfehler. > > > > hast du jetzt die ironietags vergessen > > Nein. > > > weil wenn eine Regel mir erlaubt reinzugehen auch wenn sie "falsch" ist > > macht ein drop es nicht wieder gut > > > > > > weil wie entscheidet ein "-A ineth -j DROP" über Konfigurationsfehler? > > Es ist die Art der Konfigurationsfehler gemeint, bei der eine Regel *hinter* > der Chain Blödsinn macht. Kleines Beispiel mit korrigierter Reihenfolge: > > :INPUT DROP > :ineth - > :ineth2 - > > -A INPUT -i eth0 -j ineth > -A ineth -p icmp -j ACCEPT
Ich würde vielleicht nicht jedes ICMP reinlassen, sondern nur, wenn es zu Dingen gehört, die ich verursacht habe (bzw. wenn es ECHO-Request ist) (`-m state --state ESTABLISHED,RELATED', wobei es hier vor allem auf das "RELATED" ankommt.) > -A ineth -p udp -m udp --dport 123 -j ACCEPT Wozu das? Antworten auf NTP Queries? Hier wieder der Hinweis auf ``-m state''. > Es ist nicht sonderlich sinnvoll ICMP oder ARP in einer Firewall zu > behandeln (die Mode ICMP-Ping zu filtern ist vorbei). -- Heiko
signature.asc
Description: Digital signature
_______________________________________________ Lug-dd maillist - [email protected] https://ssl.schlittermann.de/mailman/listinfo/lug-dd
