Hallo Michael, abgesehen davon, �berfl�ssige Server gleich ganz abzuschalten, hier noch ein paar iptables Eintr�ge, mit denen man beginnen sollte:
MYLAN=192.168.0.0/24 # IP-NAT ist sinnvoll, wenn man in das Internet will ;-) iptables -A POSTROUTING -s $MYLAN -d ! 192.168.0.0/255.255.0.0 -j MASQUERADE # Hier soll ein Webserver nach aussen sichtbar sein iptables -P INPUT DROP iptables -A INPUT -s $MYLAN -j ACCEPT iptables -A INPUT -s 127.0.0.0/255.0.0.0 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # Das LAN darf uneingeschr�nkt nach draussen # ...aber von draussen darf nichts rein, ausser # den angeforderten Verbindungen iptables -P FORWARD DROP iptables -A FORWARD -s $MYLAN -j ACCEPT iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Mit diesen einfachen Accesslisten ist dann nicht so tragisch, wenn mal ein Server versehentlich gestartet wird. Der Kernel blockt damit alle unerw�nschten Verbindungen. Gr��e Christian -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
