On Mon, Feb 05, 2001 at 01:10:44PM +0100, Stefan Nobis wrote: > "Philipp Zabel" <zabel@wolfsburg.de> writes: > > Gibt es allerdings effektiv einen Unterschied zwischen > > iptables -P FORWARD DROP > > iptables -A FORWARD -i eth+ -s 192.168.1.0/24 -j ACCEPT > > iptables -A FORWARD -i ippp+ -s 0.0.0.0/0 -j ACCEPT > > und > > iptables -P FORWARD ACCEPT > > außer dass falsche Adressen aus dem Ethernet geblockt werden? > Nein, es gibt keinen Unterschied. Für letzteres kannst du auch genauso > den TCP/IP-Stack benutzt, denn die neueren Linux-Kernels (IIRC ab 2.2) > haben automatischen Spoofing-Schutz, so dass man auch für diese Aufgabe > keine extra Filterregel benötigt. Hallo, gibt es eine (einfache) Möglichkeit, INPUT und OUTPUT rules auch für die FORWARD Kette gelten zu lassen? Ich habe (standard Firewall Regel) IPT=/sbin/iptables $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP und möchte jetzt für den Firewall selbst, ABER AUCH für die Clients die dahinter masquiert sind, bestimmte Ports nach aussen freischalten (z.B. 22). Zum Bleistift: Muss ich das alles 2x machen (OUTPUT/FORWARD)? -- Jens Benecke ········ http://www.hitchhikers.de/ - Europas Mitfahrzentrale MSTD, n: MicroSoft Transmitted Disease. Propagates only due to Microsoft's insistence on distributing [software] that resembles Petri dishes. See also ILOVEYOU, Melissa, Code Red, Sircam, IIS. -- http://www.everything2.com/index.pl?node=MSTD
Attachment:
pgpkSsfEiJxrl.pgp
Description: PGP signature