Hallo Gerhard, At 25.07.2001, Gerhard Engleder wrote: > On Wednesday 25 July 2001 16:08, Guido Hennecke wrote: [...] > > > Also ich finde die Anordnung der Chains FORWARD, INPUT und OUTPUT > > > bei iptables wesentlich logischer als bei ipchains. > > In wie fern? > Packete die weitergeleitet werden gehen nur durch FORWARD. INPUT und OUTPUT > sind für nur für Pakete lokaler Prozesse. Darum filtert man bei ipchains in der Input und Output Chain eben auch nur diesen Traffic und leitet alles Andere in die Forward Chain. Sprich, Du hast Regeln ueber Dinge, die nicht passieren duerfen in der Input und Output Chain und laesst den Rest durch. Du musst dich dann auch nicht mit deinen Regeln darum kuemmern in Input und Output Dinge zu filtern, die dann auch noch die Forward Chain durchlaufen, sondern filterst nur dort. Bei Iptables hast Du dann eben das Problem, dass Pakete, die Du nicht willst, "viel weiter ins System kommen" als bei ipchains, weil Du dort schon in der Input Chain filtern kannst. Wenn Du dir bei ipchains mal richtig Gedanken darueber machst, wie man am besten filtert, brauchst Du (wenn ueberhaupt) kaum mehr Regeln als bei iptables. > > > Auch denke ich, dass > > > Erweiterungen wie limit sicher ihre Berechtigungen haben. > > Welche? > Mit limit kann man beschränken wie oft eine Regel zutreffen darf. > Zum Beispiel wenn man nur ein SYN-Packet pro Sekunde zulassen will. Der einzige Fall der mir spontan in den Sinn kommt, wo das wirklich Sinn macht, ist bei ICMP und das kann man uebers proc Filesystem einstellen. Ansonsten kennst auch der 2.2´er Kernel Syn Floods. > > > Es ist doch auch sicher ein Vorteil wenn man Dinge genauer angeben > > > kann (-i o. -o gegenüber nur -i), oder??? > > Bitte beschreibe das mal genau. > Ich kann bei iptables mit -i das Inputinterface und mit -o das > Outputinterface angeben. Bei ipchains hängt das Interface (-i) davon ab > in welcher Chain ich mich befinde. Kann also die Abfrage von Input- und > Outputinterface in einer Chain (nur FORWARD) machen, was die > Übersichtlichkeit sicher erhöht. Da Du normalerweise in der Forward Chain auch angibst, wer Quelle und Ziel ist, eruebrigt sich das, wenn Du wie oben beschrieben in der Input und Output Chain entsprechend filterst. Gruss, Guido -- Message-ID: <slrn9708er.ngn.fefe@baileys.convergence.de> (ACK!) Überhaupt, was für eine Einstellung zur Bildung ist denn das? Kinder sollen in der Schule auf das Leben vorbereitet werden, nicht auf das Werbefernsehen, wo auch alles negative weggefiltert wird.
Attachment:
pgpbYMliVuO7b.pgp
Description: PGP signature