Hallo Guido, * Guido Hennecke <g.hennecke@t-online.de> [30-07-01 12:09]: > > > Sprich, Du hast Regeln ueber Dinge, die nicht passieren duerfen in der > > > Input und Output Chain und laesst den Rest durch. Du musst dich dann > > > auch nicht mit deinen Regeln darum kuemmern in Input und Output Dinge zu > > > filtern, die dann auch noch die Forward Chain durchlaufen, sondern > > > filterst nur dort. > > Das heisst es geht hier ausschlieslich um eine Policy von ACCEPT? > > Ansonsten ergibt das obige IMO keinen Sinn. > > Nein, auf _keinen_ Fall! > > Du filterst das, was vom Internet (Beispiel) kommt und geroutet werden > soll in die Forward Chain (nicht einzeln pro Port sondern moeglichst > global und filterst dann eben in der Forward Chain. Das hoert sich schon besser an. Das 'Du hast Regeln ueber Dinge, die nicht passieren duerfen' hat mich gestoert. Die Methode hat den Vorteil, dass man pro Verbindung 4 Regeln weniger hat und den Nachteil, dass die Pakete 'tiefer ins System' kommen. Oder gibts noch mehr Vorteile? > > > Ansonsten kennst auch der 2.2´er Kernel Syn Floods. > > Du meinst er kann sie verhindern? > > IIRC kann er bei einem "erkannten" Syn Flood die Pakete verwerfen > anstatt sie an die Anwendung weiter zu leiten. Ja, das kann er. Ich wollte nur wissen ob Du das meinst. Gruss Janto -- Janto Trappe Germany /* rapelcgrq znvy cersreerq! */ GnuPG-Key: http://www.sylence.de/gpgkey.asc Key ID: 0x8C53625F Fingerprint: 35D7 8CC0 3DAC 90CD B26F B628 C3AC 1AC5 8C53 625F
Attachment:
pgpHxBxJH9G7N.pgp
Description: PGP signature