Hallo Werner, Werner Mahr, 25.12.2003 (d.m.y): > Am Donnerstag, 25. Dezember 2003 02:50 schrieb Christian Schmidt: > > Das Thema ist auch alles andere als trivial, und ich waere ein > > Luegner, wenn ich behaupten wuerde, mich da gut auszukennen... > > Das ist wahr. Kennst Du mich so gut oder bezieht sich Deine Aussage auf den ersten Teil meines Satzes? ;-) ...obwohl Du recht hast. ;-) > > Die kannst Du Dir in dem Setup aber genausogut sparen: Deine > > Default Policy steht jeweils auf ACCEPT, und zusaetzlich erlaubst > > Du dem System, ueber lo mit sich selbst zu kommunizieren - was es > > aber gemaess der Default Policy ohnehin schon darf... > > Zu dem Zeitpunkt stand sie auf ACCEPT, weil ich noch am > experimentieren bin. Ich schalte öfter hin und her, wenn ich was > neues ausprobiere, und sie umschalte, sollte aber lo wieter > funktionieren. Ein (wenn auch zeitaufwendiger) Ansatz waere folgender: Du setzt die Default Policies auf "DROP" und definierst fuer INPUT, FORWARD und OUTPUT jeweils eine einzige Regel, mit der Du jedes "hantierte" Paket loggen laesst. Nun versuchst Du sukzessive, jede der Aktionen, die Du gestatten willst, einmal durchzufuehren. Klar: Sie wird nicht funktioneren, weil der Paketfilter alles "verschluckt". Aber anhand der Eintraege aus dem Kernel-Log kannst Du dann weitere Filterregeln "entwickeln". Dieses Vorgehen ist aber recht zeitintensiv, und Du solltest schon ein gewissen KnowHow mitbringen, um aus den Logeintraegen die entsprechende Filterregel zum "Zulassen" der Pakete "extrahieren" zu koennen... Gruss, Christian -- Sprachlexikon-Namen: CARMEN - Automechaniker (amerik.)
Attachment:
pgpdSmIeH6VLR.pgp
Description: PGP signature