Re: iptables -geht das so?

To: debian-user-german@lists.debian.org
Subject: Re: iptables -geht das so?
From: Sven Hartge <lists@ds9.argh.org>
Date: Sat, 28 Sep 2002 20:12:30 +0200
Message-id: <[🔎] E17vM4s-0007Yj-00@ds9.argh.org>
References: <[🔎] 200209271531.g8RFVgX15152@mailgate5.cinetic.de>

jonni jalass <jonni.jalass@web.de> wrote:
> Am Freitag, 27. September 2002 16:04 schrieb thiemo@gmx.ch:

>> Richtig. Die Frage ist, warum nicht alle NEWs gedroppt werden sollen?
>> Soll jemand über ein anderes Interface auf den Rechner zugreifen
>> können, z. B. Ethernet?

> Hm - werden nicht rechnerintern staendig neue Verbindungen aufgebaut,
> die durch die INPUT-Chain laufen, zB zum X-Server, zum lpd-Server
> usw.? Wuerden die nicht auch gedropt werden?

Ja. Würden, wenn nicht "! $external-device" stehen würde.

> Oder haengt das zusammen mit dem lo-Interface (loopback?), 

Ja.

> Soweit ich das begreife, wird das lo nur rechnerintern genutzt. NEWs
> ueber lo koennen (und sollen) daher wohl akzeptiert werden.

Ja.

Bei mir kommt noch hinzu, das ich über eth0 "Internet" habe und über
eth1 und eth2 das Intranet finde. Von dort sollen NEW connections (also
SYN) erlaubt sein, von aussen aber nur auf speziellen Ports.

Der Vorteil von Statefull gegen alles REJECTen, was das SYN-Bit gesetzt
hat: active ftp funktioniert weiter, DNS, etc.

Das wird nämlich durch das RELATED durchgelassen, während solche Dinge
bei einfachem REJECTen von SYN auch abgeschossen worden wäre.

S°

-- 
BOFH excuse #261:

The Usenet news is out of date

Reply to:

References:
- Re: iptables -geht das so?
  - From: jonni jalass <jonni.jalass@web.de>

Prev by Date: Re: Debian Sarge & Sylpheed/Sylpheed Claws
Next by Date: Re: Vereinsverwaltung
Previous by thread: Re: iptables -geht das so?
Next by thread: eintragung in liste nicht möglich
Index(es):
- Date
- Thread