Re: Iptables

To: debian-user-german@lists.debian.org
Subject: Re: Iptables
From: Tobias Kraus <tobias.kraus@stud.tu-muenchen.de>
Date: Thu, 8 May 2003 23:43:27 +0200
Message-id: <[🔎] 200305082343.28005.tobias.kraus@stud.tum.de>
In-reply-to: <[🔎] 5.1.0.14.2.20030508213905.01f15a48@pop3.acom-mm.de>
References: <[🔎] 5.1.0.14.2.20030508213905.01f15a48@pop3.acom-mm.de>

Am Donnerstag, 8. Mai 2003 21:49 schrieb Michael Albrecht:
[...]
> iptabels -A INPUT -s 192.168.81.xxx -j ACCEPT
>
> Default bei Input ist: DENY
>
> Wenn ich jetzte diese Regeln von einem Skript aus starte, dann wird
> der Rechner sehr langam, aber ich find keinen Anhaltspunkt wo das

Hallo Michael,
192.168.xxx.yyy ist doch (der definition nach) ein C-Klasse Netz 
(Netmask 255.255.255.0). Warum machst Du dann nicht so etwas wie

iptabels -A INPUT -s 192.168.81.0/24 -j ACCEPT

Wenn Du bestimmte hosts ausschliessen willst, kannst Du ein

iptabels -A INPUT -s 192.168.81.xxx -j DENY|REJECT

voranstellen. Damit hast Du wahrscheinlich wesentlich weniger Regeln, 
die bei _*jedem*_ IP-Paket ueberprueft werden muessen (ein 
Ethernet-Paket ist i.d.R. 1500 Byte lang und davon gehen dann noch 
diverse Header weg. Somit muessen im unguenstigen Fall ueber 200 
iptables-Regeln je ca. 1 KByte Nutzdaten ueberprueft werden!). V.a. 
ist alles wesentlich uebersichtlicher.

MfG

Tobias

-- 
/"\ ASCII Ribbon Campaign
\ / No proprietary formats in attachments without request
 X  i.e. *NO* WORD, POWERPOINT or EXCEL documents
/ \ Respect Open Standards
    http://www.fsf.org/philosophy/no-word-attachments.html
    http://www.goldmark.org/netrants/no-word/attach.html

Registered Linux User #293344

Reply to:

References:
- Iptables
  - From: Michael Albrecht <albi@acom-mm.de>

Prev by Date: dselect hat schwaches Gedächtnis - nach Neuinstallation
Next by Date: Re: software raid
Previous by thread: Iptables
Next by thread: dselect hat schwaches Gedächtnis - nach Neuinstallation
Index(es):
- Date
- Thread