[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian] ip-up/down - > ipchains -D | ipchains -F?

On Son, Jan 14, 2001 at 03:01:43 +0100, Janto Trappe wrote:

> Wieso update-rc.d? Das ist doch nur zum updaten von /etc/X.d/ -
> /etc/init.d. Ich habe jetzt ein script in /etc/init.d/firewall was
> nach dem booten gestartet wird.

nein. warum sollte es? es gibt keinen link in /etc/rc?.d/

> Also packe ich das Script in /usr/local/etc/init.d/firewall, kann es
> dort von ueberall aus ausfuehren und fuers booten mache ich einen
> symlink von /etc/init.d/firewall auf /usr/local/init.d/firewall. Hab
> ich das richtig verstanden?

ja.

> Was aber AFAIK hiesse das die Schleife nur Sinn machen wuerde wenn
> ich mehrer Regeln habe die alle auf ein und die Selbe Portliste
> angewendet werden muessen. Bei einer DENY Policy ist dies IMO nur
> sehr selten noetig.

korrekt.

> > > Muss es unbedingt in umgekehrter Reihenfolge sein? AFAIK nicht.
> 
> Achso, ich dachte Du meinst ich solle die Rules in umgekehrter
> Reihenfolge loeschen. ;)

dein quoting ist nicht gerade sahne...

> Aber warum meinst Du output zuerst? IMHO input, forward, output oder
> forward, input, output.

warum etwas zuerst löschen das massgeblich zur sicherheit der firewall
beiträgt? output ist in dieser beziehung *relativ* unkritisch.

> Ja, entweder so oder so. -F oder -D/A/I. Hat beides Vor- und
> Nachteile.

haben wir ja jetzt zur genüge analysiert :)
schlussendlich bleibts geschmackssache mit einem schuss bequemlichkeit.

[ ipmasq installieren ja/nein ]

> Negativ oder Positiv?

positiv.

> Hm, dort heisst es "route add default netmask 0 $PPP_IFACE". Brauche
> ich das dann auch in meinem script?

wenn du defaultroute in /etc/ppp/options verwendest, deine clients als
router die firewall drin haben, eigentlich nicht. was dieser befehl mehr
macht als die defaultroute subroutine von pppd weiss ich auch nicht.

> Ne ne, wenn das nur scripte sind, will ich das gerade nicht. Es sei
> denn Du nennst mir einen grossen Vorteil.

es setzt einfach die default policies, erkennt alle interfaces, setzt
localhost spoofing protection, brauchbare masquerading regeln, setzt das
ip forwarding, timeouts, logging u.a.

ich habe alles am laufen: ipmasq mit default, eigenen .rul files und 
firewall script.

> Naja, das script habe ich ja schon geschrieben und laeuft ja auch
> vernuenftig. 

mach's am besten so wie es für dich überschaubar ist. transparenz ist
das wichtigste.

> Ich schicke dir in ca. 20 min. (vielleicht bis du ja noch wach) mal
> mein Script per PM. Waere nett wenn Du das mal angucken koenntest.

so spät wie gestern wird's nicht, aber ich schau's mir heute noch an.
allerdings solltest du noch eins beachten: firewall regeln sind sehr
sicherheitskritisch und sollten eigentlich nicht in der öffentlichkeit
publiziert werden. ipv4 ist nicht sicher und selbst beim ausgefeiltesten
script kann ein könner noch sicherheitslücken finden. also vorsicht, wem
du das script zukommen lässt.

-- 
"Mine!  Mine!  It's all mine!"
	-- Daffy Duck

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

685 eingetragene Mitglieder in dieser Liste.
Reply to: