Am Samstag, 27. Dezember 2003 02:23 schrieb Christian Schmidt:
[...]
Wenn Du (Werner! ;-) eine entsprechende Webseite findest, waere es
nett, den URL kurz hier zu posten.
Ging hier im November über die Liste.
Such, kram,warum geht eine Volltextsuche bei mir nicht so schnell wie
auf der
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Samstag, 27. Dezember 2003 02:30 schrieb Christian Schmidt:
Hallo Werner,
Werner Mahr, 25.12.2003 (d.m.y):
Am Donnerstag, 25. Dezember 2003 02:50 schrieb Christian Schmidt:
Das Thema ist auch alles andere als trivial, und ich waere ein
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Freitag, 26. Dezember 2003 14:33 schrieb Andreas Kretschmer:
[Eine wirklich gute Erklärung}
Warum fängst du nicht an zu schreiben. Ich hab gestern mal das
Onlinearchiv von Linuxuser durchsucht, da stand genau dasselbe drin,
aber dein Text,
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Freitag, 26. Dezember 2003 14:33 schrieb Andreas Kretschmer:
Bleibt doch noch eine Frage:
Lokal
... -p TCP --sport 1024: --dport 22 -j ACCEPT # (eingehend)
... -p TCP --sport 22 --dport 1024: -j ACCEPT # (ausgehend)
NAT
- outgoing Ziel-Port
am Sat, dem 27.12.2003, um 9:58:35 +0100 mailte Werner Mahr folgendes:
Am Freitag, 26. Dezember 2003 14:33 schrieb Andreas Kretschmer:
Bleibt doch noch eine Frage:
Lokal
... -p TCP --sport 1024: --dport 22 -j ACCEPT # (eingehend)
... -p TCP --sport 22 --dport 1024: -j ACCEPT #
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Samstag, 27. Dezember 2003 11:01 schrieb Andreas Kretschmer:
Ja, all das mag zuerst etwas verwirrend sein. Aber irgendwie auch
faszinierend, oder? ;-)
Allerdings, jetz kenn ich auch meinen Fehler, ich versuch immer als
Gateway zu denken. Jetzt
am Thu, dem 25.12.2003, um 12:02:22 +0100 mailte Werner Mahr folgendes:
Wäre ganz gut wenn ich das vorher wüsste. Soweit ich mich an meine
Ausbildung erriner, läuft die Kommunikation doch so ab:
SSH, Anfrage an PORT 22 - Antwort mit zu verwendenden PORT -
Kommunikation über diesen PORT. Ist
Hallo Werner,
Werner Mahr, 25.12.2003 (d.m.y):
Am Donnerstag, 25. Dezember 2003 02:50 schrieb Christian Schmidt:
Das Thema ist auch alles andere als trivial, und ich waere ein
Luegner, wenn ich behaupten wuerde, mich da gut auszukennen...
Das ist wahr.
Kennst Du mich so gut oder bezieht
Hallo Gerhard,
Gerhard Brauer, 25.12.2003 (d.m.y):
Es gibt ein recht gutes Buch in deutsch zu Firewall und iptables. Dieses
kannst du dir auch als Quellcode frei herunterladen und dann mit latex
ein Postscript oder PDF erstellen. Die genaue Quelle kann ich dir
leider nicht mehr sagen,
Hallo Werner,
Werner Mahr, 25.12.2003 (d.m.y):
Loggen hab ich versucht, dummerweise hat er alles auf die Console
geschrieben, und sie damit unbrauchbar gemacht.
Wie Du das abstellen kannst, rauschte hier vor kurzem erst wieder
einmal durch.
Ansonsten hilft auch das Abgrasen der
am Thu, dem 25.12.2003, um 2:50:05 +0100 mailte Christian Schmidt folgendes:
Die kannst Du Dir in dem Setuo aber genausogut sparen: Deine Default
Policy steht jeweils auf ACCEPT, und zusaetzlich erlaubst Du dem
Er hat ein Setup, in dem alles erlaubt ist, und will nun aber filtern
und sich mit
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Donnerstag, 25. Dezember 2003 02:50 schrieb Christian Schmidt:
Das Thema ist auch alles andere als trivial, und ich waere ein
Luegner, wenn ich behaupten wuerde, mich da gut auszukennen...
Das ist wahr.
Die kannst Du Dir in dem Setuo aber
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Mittwoch, 24. Dezember 2003 22:59 schrieb Andreas Kretschmer:
Du solltest die 'Tuts' lesen, nicht nur drüber labern ;-)
OK, ich weiß nicht wies bei dir aussieht, aber mein Englisch ist ein
wenig eingerostet. Und was ich über das Tut von Rusty
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Donnerstag, 25. Dezember 2003 02:54 schrieb Christian Schmidt:
Hallo Werner,
Werner Mahr, 24.12.2003 (d.m.y):
Wie schon gesagt, die Tuts.
Wer tut es?
Oder meinst Du Tutorials? Dann schreib das doch bitte auch.
Tut's. Sorry
Nun, netfilter
am Thu, dem 25.12.2003, um 11:58:27 +0100 mailte Werner Mahr folgendes:
Am Mittwoch, 24. Dezember 2003 22:59 schrieb Andreas Kretschmer:
Du solltest die 'Tuts' lesen, nicht nur drüber labern ;-)
OK, ich weiß nicht wies bei dir aussieht, aber mein Englisch ist ein
wenig eingerostet. Und
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Donnerstag, 25. Dezember 2003 14:10 schrieb Andreas Kretschmer:
Es gibt aber dort auch ganz brauchbare deutsche Übersetzungen.
Schon gefunden?
Bis jetzt noch nicht, aber nach den Feirtagen hab ich mehr Zeit zum
Suchen.
Ich ging von einem
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Donnerstag, 25. Dezember 2003 10:41 schrieb Andreas Kretschmer:
Er hat ein Setup, in dem alles erlaubt ist, und will nun aber
filtern und sich mit der Materie beschäftigen.
Sein Problem ist eher, daß er es möglichst über eine
Klick-Oberfläche
Am Donnerstag, 25. Dezember 2003 14:43 schrieb Werner Mahr:
Fast richtig. Mit IPTables, will ich mich schon beschäftigen, habe
aber keine verständlichen Anleitungen gefunden (mit Englisch hab ich
nicht so). Anscheinend hab ich aber an den falschen stellen gesucht.
Eine Oberfläche kann ich nur
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Donnerstag, 25. Dezember 2003 15:03 schrieb Gerhard Brauer:
Es gibt ein recht gutes Buch in deutsch zu Firewall und iptables.
Dieses kannst du dir auch als Quellcode frei herunterladen und dann
mit latex ein Postscript oder PDF erstellen. Die
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Servus,
ich blick bald net mehr durch.
Ich bingrade am experimentieren mit IPTables, und wollte ein Programm
nach dem anderen über masqerading ins Netz bringen. Die ganze Zeit
habe ich einfach alles durchgelassen, jetzt hab ich meinen Bruder mit
am Wed, dem 24.12.2003, um 10:01:28 +0100 mailte Werner Mahr folgendes:
Servus,
ich blick bald net mehr durch.
Ich bingrade am experimentieren mit IPTables, und wollte ein Programm
nach dem anderen über masqerading ins Netz bringen. Die ganze Zeit
habe ich einfach alles durchgelassen,
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Mittwoch, 24. Dezember 2003 10:23 schrieb Andreas Kretschmer:
geNATete Verbindungen filtert man in FORWARD. Du hast dort sicher
ein ACCEPT stehen, und keinerlei Regeln.
SE-Home:/etc/postfix# iptables -t FORWARD -L
iptables v1.2.6a: can't
am Wed, dem 24.12.2003, um 11:06:48 +0100 mailte Werner Mahr folgendes:
Am Mittwoch, 24. Dezember 2003 10:23 schrieb Andreas Kretschmer:
geNATete Verbindungen filtert man in FORWARD. Du hast dort sicher
ein ACCEPT stehen, und keinerlei Regeln.
SE-Home:/etc/postfix# iptables -t FORWARD
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Ich versuch einfach alles außer bestimmten Ports zu blocken.
Wenn ich als erste Regel ein Reject all von Anywhere mach, un danach
einzelne wieder auf accept stelle, sollte es auf disem Port doch
möglich sein, zumindest auf lokale Dienste
Hallo Werner,
Werner Mahr, 24.12.2003 (d.m.y):
Am Mittwoch, 24. Dezember 2003 10:23 schrieb Andreas Kretschmer:
geNATete Verbindungen filtert man in FORWARD. Du hast dort sicher
ein ACCEPT stehen, und keinerlei Regeln.
SE-Home:/etc/postfix# iptables -t FORWARD -L
iptables v1.2.6a:
am Wed, dem 24.12.2003, um 14:55:27 +0100 mailte Werner Mahr folgendes:
Ich versuch einfach alles außer bestimmten Ports zu blocken.
Soweit richtig.
Wenn ich als erste Regel ein Reject all von Anywhere mach, un danach
einzelne wieder auf accept stelle, sollte es auf disem Port doch
Nein.
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Mittwoch, 24. Dezember 2003 15:05 schrieb Andreas Kretschmer:
Nein. Man stellt als Policy DROP ein (am Anfang), erlaubt dann
alles, was erlaubt sein soll, loggt dann den Rest (zumindest für
den Anfang zum debuggen) und REJECTed dann.
Ich
Hallo Werner,
Werner Mahr, 24.12.2003 (d.m.y):
Ich benutze ipmenu, weil lokkit einfach nicht laufen will.
Warum probierst Du es nicht einfach mit iptables direkt?
Ich habe
jetzt einfach mal Probiert, nur ssh auf den Server freizugeben.
Policy auf drop, dann von 192.168.1.0/24 src-port
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Mittwoch, 24. Dezember 2003 16:13 schrieb Christian Schmidt:
Und wie sieht das gesamte Regelwerk aus?
iptables -nL zeigt es Dir.
Ergänzung:
Und das Msqerading fehlt vollständig, ist aber aktiviert. Zumindest
für ausgehende Verbindungen nach
am Wed, dem 24.12.2003, um 15:48:55 +0100 mailte Werner Mahr folgendes:
Am Mittwoch, 24. Dezember 2003 15:05 schrieb Andreas Kretschmer:
Nein. Man stellt als Policy DROP ein (am Anfang), erlaubt dann
alles, was erlaubt sein soll, loggt dann den Rest (zumindest für
den Anfang zum
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Mittwoch, 24. Dezember 2003 16:13 schrieb Christian Schmidt:
Warum probierst Du es nicht einfach mit iptables direkt?
Bis jetzt hab ich fast ausschlieslich verweise auf das Tut von Russel
irgenwas gefunden, das ist zwar besser als die anderen
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Am Mittwoch, 24. Dezember 2003 18:34 schrieb Andreas Kretschmer:
Ich benutze $EDITOR und iptables direkt, weil ich zu faul bin,
neben den Grundlagen noch die Bedienung von $TOOL zu erlernen. Pure
Faulheit, ehrlich.
Wie schon gesagt, die Tuts.
am Wed, dem 24.12.2003, um 19:27:47 +0100 mailte Werner Mahr folgendes:
Daß Kommunikation bi-direktional ist, ist aber bekannt, oder?
Falls du mir damit sagen willst, das ich OUtput auch aktivieren muss,
Nein.
da habe ich nicht dran gedacht. Ich dachte wenn das zu einer
bestehenden
am Wed, dem 24.12.2003, um 19:09:48 +0100 mailte Werner Mahr folgendes:
Warum probierst Du es nicht einfach mit iptables direkt?
Bis jetzt hab ich fast ausschlieslich verweise auf das Tut von Russel
irgenwas gefunden, das ist zwar besser als die anderen Treffer, aber
nicht sehr
Hallo Werner,
Werner Mahr, 24.12.2003 (d.m.y):
Am Mittwoch, 24. Dezember 2003 16:13 schrieb Christian Schmidt:
Warum probierst Du es nicht einfach mit iptables direkt?
Bis jetzt hab ich fast ausschlieslich verweise auf das Tut von Russel
irgenwas gefunden, das ist zwar besser als die
Hallo Werner,
Werner Mahr, 24.12.2003 (d.m.y):
Wie schon gesagt, die Tuts.
Wer tut es?
Oder meinst Du Tutorials? Dann schreib das doch bitte auch.
[..]
Falls du mir damit sagen willst, das ich OUtput auch aktivieren muss,
da habe ich nicht dran gedacht. Ich dachte wenn das zu einer
36 matches
Mail list logo