Re: ipchains

To: debian-user-de@jfl.de
Subject: Re: ipchains
From: Janto Trappe <list@sylence.de>
Date: Mon, 30 Jul 2001 07:38:42 +0200
Message-id: <[🔎] 20010730073842.J11432@sylence.de>
Mail-followup-to: debian-user-de@jfl.de
In-reply-to: <[🔎] E15PRth-0004vD-00@debian.dyndns.org>; from g.hennecke@t-online.de on Wed, Jul 25, 2001 at 06:52:01PM +0200
References: <[🔎] 01072415575600.00284@workstation01> <[🔎] 01072515585400.00285@workstation01> <[🔎] E15PPL3-0004HL-00@debian.dyndns.org> <[🔎] 01072516440600.00406@workstation01> <[🔎] E15PRth-0004vD-00@debian.dyndns.org>

Hallo Guido,

* Guido Hennecke <g.hennecke@t-online.de> [25-07-01 18:52]:

> > > > Also ich finde die Anordnung der Chains FORWARD, INPUT und OUTPUT
> > > > bei iptables wesentlich logischer als bei ipchains.
> > > In wie fern?
> > Packete die weitergeleitet werden gehen nur durch FORWARD. INPUT und OUTPUT 
> > sind für nur für Pakete lokaler Prozesse.
> 
> Darum filtert man bei ipchains in der Input und Output Chain eben auch
> nur diesen Traffic und leitet alles Andere in die Forward Chain.
> 
> Sprich, Du hast Regeln ueber Dinge, die nicht passieren duerfen in der
> Input und Output Chain und laesst den Rest durch. Du musst dich dann
> auch nicht mit deinen Regeln darum kuemmern in Input und Output Dinge zu
> filtern, die dann auch noch die Forward Chain durchlaufen, sondern
> filterst nur dort.

Das heisst es geht hier ausschlieslich um eine Policy von ACCEPT?
Ansonsten ergibt das obige IMO keinen Sinn.

> Bei Iptables hast Du dann eben das Problem, dass Pakete, die Du nicht
                                                   ^^^^^^^^^^^^^^^^^^^^
> willst, "viel weiter ins System kommen" als bei ipchains, weil Du dort
  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> schon in der Input Chain filtern kannst.

Nicht wenn Du, wie oben beschrieben, alle Pakete, von nicht lokalen
Prozessen, an die FORWARD Chain weiterleitest. ;-)

> > Mit limit kann man beschränken wie oft eine Regel zutreffen darf.
> > Zum Beispiel wenn man nur ein SYN-Packet pro Sekunde zulassen will.
> 
> Der einzige Fall der mir spontan in den Sinn kommt, wo das wirklich Sinn
> macht, ist bei ICMP und das kann man uebers proc Filesystem einstellen.

ICMP kennt kein SYN Bit.

> Ansonsten kennst auch der 2.2´er Kernel Syn Floods.

Du meinst er kann sie verhindern?

> > Ich kann bei iptables mit -i das Inputinterface und mit -o das
> > Outputinterface angeben. Bei ipchains hängt das Interface (-i) davon ab
> > in welcher Chain ich mich befinde. Kann also die Abfrage von Input- und
> > Outputinterface in einer Chain (nur FORWARD) machen, was die
> > Übersichtlichkeit sicher erhöht.
> 
> Da Du normalerweise in der Forward Chain auch angibst, wer Quelle und
> Ziel ist, eruebrigt sich das, wenn Du wie oben beschrieben in der Input
> und Output Chain entsprechend filterst.

ACK! Uebersichtlicher und Feherlunanfaelliger ist es aber auf jeden
Fall.

Janto

-- 
hab ja nicht gesagt das es für mich nicht in frage kommt, aber es ist
mir einfach zu mühsam im textmodus emails zu schreiben und zu lesen
weil ich hab auf meinem linux mit absicht nur textmodus, mehr brauch
ich nicht.  - Michael in d.o.c

Attachment: pgpx8s8sF5yOy.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: ipchains
  - From: Guido Hennecke <g.hennecke@t-online.de>

References:
- [Debian] ipchains
  - From: Gerhard Engleder <engleder.debian@gmx.at>
- Re: [Debian] ipchains
  - From: Gerhard Engleder <engleder.debian@gmx.at>
- Re: [Debian] ipchains
  - From: Guido Hennecke <g.hennecke@t-online.de>
- Re: [Debian] ipchains
  - From: Gerhard Engleder <engleder.debian@gmx.at>
- Re: [Debian] ipchains
  - From: Guido Hennecke <g.hennecke@t-online.de>

Prev by Date: Re: [Debian] Debian Pakete selber kompilieren
Next by Date: Re: ipchains
Previous by thread: Re: [Debian] ipchains
Next by thread: Re: ipchains
Index(es):
- Date
- Thread