Hallo Guido, * Guido Hennecke <g.hennecke@t-online.de> [30-07-01 12:23]: > > Das ist (fast) immer unsinn. Normalerweise hat man eine DENY oder > > REJECT Policy und erlaubt nur gewuenschte Verbindungen. Damit werden > > auch Ports, auf denen kein Dienst laeuft, geblockt. > > Ports blocken, klingt schon so ....aehh...doof ;-) > > Nein, es geht doch darum, den Verkehr zu regeln. > > Warum sollte man TCP Pakete ohne gesetztes Syn Flag blocken? Warum sollte man sie nicht blocken? Man erlaubt nur gewuenschte Verbindugen und strickt die Regeln so eng wie moeglich, alles andere wird dann 'automatisch' geblockt. > > > So, welche bekannten Probleme hast Du denn bei ipchains, die die > > > Sicherheit deiner Paketfilter negativ beeinflussen? > > Z.B. dass man das Logging nicht limitieren kann. > > Das Logging verwendet man nur sehr geziehlt und meist nur zum Debuggen. Die Logfiles koennen sehr wichtig sein um bestimmte Vorgaenge nachzuvollziehen. Gruss Janto -- Janto Trappe Germany /* rapelcgrq znvy cersreerq! */ GnuPG-Key: http://www.sylence.de/gpgkey.asc Key ID: 0x8C53625F Fingerprint: 35D7 8CC0 3DAC 90CD B26F B628 C3AC 1AC5 8C53 625F
Attachment:
pgpsDF0yumPP2.pgp
Description: PGP signature