On Tue, May 12, 2009 09:08, Heiko Schlittermann wrote: > Konrad Rosenbaum <[email protected]> (Mo 11 Mai 2009 18:11:45 CEST): >> On Monday 11 May 2009, Grimnin Fridyson wrote: >> Es ist die Art der Konfigurationsfehler gemeint, bei der eine Regel >> *hinter* >> der Chain Blödsinn macht. Kleines Beispiel mit korrigierter >> Reihenfolge: >> >> :INPUT DROP >> :ineth - >> :ineth2 - >> >> -A INPUT -i eth0 -j ineth >> -A ineth -p icmp -j ACCEPT > > Ich würde vielleicht nicht jedes ICMP reinlassen, sondern nur, wenn es > zu Dingen gehört, die ich verursacht habe (bzw. wenn es ECHO-Request > ist) (`-m state --state ESTABLISHED,RELATED', wobei es hier vor allem > auf das "RELATED" ankommt.)
Ich sehe nicht wirklich welche ICMPs gefaehrlich genug sein koennen, um komplexere Regeln zu schreiben. Insbesondere bei IPv6 wuerde das sehr schnell ausarten, da es einige sehr wichtige Requests gibt (RD/RA, ND/NA, Redirect). Die Regeln fuer ICMP-Processing sind inzwischen so, dass sich die Firewall eigentlich keine Muehe geben muss. >> -A ineth -p udp -m udp --dport 123 -j ACCEPT > > Wozu das? Antworten auf NTP Queries? Hier wieder der Hinweis auf ``-m > state''. Nein, in diesem Fall Zitat aus einer Maschine die NTP-Server ist. Konrad _______________________________________________ Lug-dd maillist - [email protected] https://ssl.schlittermann.de/mailman/listinfo/lug-dd
