Re: ipchains

To: debian-user-de@jfl.de
Subject: Re: ipchains
From: Guido Hennecke <g.hennecke@t-online.de>
Date: Mon, 30 Jul 2001 12:09:37 +0200
Message-id: <[🔎] E15RA00-0001iT-00@debian.dyndns.org>
Mail-followup-to: debian-user-de@jfl.de
In-reply-to: <[🔎] 20010730073842.J11432@sylence.de>; from list@sylence.de on Mon, Jul 30, 2001 at 07:38:42AM +0200
References: <[🔎] 01072415575600.00284@workstation01> <[🔎] 01072515585400.00285@workstation01> <[🔎] E15PPL3-0004HL-00@debian.dyndns.org> <[🔎] 01072516440600.00406@workstation01> <[🔎] E15PRth-0004vD-00@debian.dyndns.org> <[🔎] 20010730073842.J11432@sylence.de>

Hallo Janto,

At 30.07.2001, Janto Trappe wrote:
> * Guido Hennecke <g.hennecke@t-online.de> [25-07-01 18:52]:
[...]
> > Darum filtert man bei ipchains in der Input und Output Chain eben auch
> > nur diesen Traffic und leitet alles Andere in die Forward Chain.
> > 
> > Sprich, Du hast Regeln ueber Dinge, die nicht passieren duerfen in der
> > Input und Output Chain und laesst den Rest durch. Du musst dich dann
> > auch nicht mit deinen Regeln darum kuemmern in Input und Output Dinge zu
> > filtern, die dann auch noch die Forward Chain durchlaufen, sondern
> > filterst nur dort.
> Das heisst es geht hier ausschlieslich um eine Policy von ACCEPT?
> Ansonsten ergibt das obige IMO keinen Sinn.

Nein, auf _keinen_ Fall!

Du filterst das, was vom Internet (Beispiel) kommt und geroutet werden
soll in die Forward Chain (nicht einzeln pro Port sondern moeglichst
global und filterst dann eben in der Forward Chain.

> > > Mit limit kann man beschränken wie oft eine Regel zutreffen darf.
> > > Zum Beispiel wenn man nur ein SYN-Packet pro Sekunde zulassen will.
> > Der einzige Fall der mir spontan in den Sinn kommt, wo das wirklich Sinn
> > macht, ist bei ICMP und das kann man uebers proc Filesystem einstellen.
> ICMP kennt kein SYN Bit.

Nein, ich rede von Floods. Beispielsweise ein ICMP Paket (in dem Fall
ein Echo Request) von einer Broadcast Adresse auf deine Systeme o.Ae.

> > Ansonsten kennst auch der 2.2´er Kernel Syn Floods.
> Du meinst er kann sie verhindern?

IIRC kann er bei einem "erkannten" Syn Flood die Pakete verwerfen
anstatt sie an die Anwendung weiter zu leiten.

[...]
> > Da Du normalerweise in der Forward Chain auch angibst, wer Quelle und
> > Ziel ist, eruebrigt sich das, wenn Du wie oben beschrieben in der Input
> > und Output Chain entsprechend filterst.
> ACK! Uebersichtlicher und Feherlunanfaelliger ist es aber auf jeden
> Fall.

Haeh?

Gruss, Guido
-- 
- Ich war kein Fuzzy, sondern ein Hacker. (FvL in de.comp.os.unix.discussion)
-GnuPG-
Get my public GnuPG key by sending me an email with subject "GnuPG-Request"

Attachment: pgpV3Ul0bvnNR.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: ipchains
  - From: Janto Trappe <list@sylence.de>

References:
- [Debian] ipchains
  - From: Gerhard Engleder <engleder.debian@gmx.at>
- Re: [Debian] ipchains
  - From: Gerhard Engleder <engleder.debian@gmx.at>
- Re: [Debian] ipchains
  - From: Guido Hennecke <g.hennecke@t-online.de>
- Re: [Debian] ipchains
  - From: Gerhard Engleder <engleder.debian@gmx.at>
- Re: [Debian] ipchains
  - From: Guido Hennecke <g.hennecke@t-online.de>
- Re: ipchains
  - From: Janto Trappe <list@sylence.de>

Prev by Date: Re: [Debian] ldap und passwort
Next by Date: Re: ipchains
Previous by thread: Re: ipchains
Next by thread: Re: ipchains
Index(es):
- Date
- Thread