Hallo! On 07 May 2004 at 21:49 +0200, Matthias Taube wrote: > Optimal wäre ein Programm, bei dem bei jedem Connectversuch der nicht > explizit erlaubt ist ein Fenster hochpoppt. Dies würde die Erstellung von > Regeln erheblich vereinfachen. Das wäre grob fahrlässig. Selbst wenn wirklich nur ein Meldungsfenster (ohne direkte Modifikationsmöglichkeit des Regelsatzes aus unprivilegiertem Nutzerkontext heraus) implementiert wäre, fände ich die Tatsache, dass das /im Kernel/ implementierte Paketfiltern GUI-Abhängigkeiten bekommt mindestens genauso haarsträubend wie die Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend konfigurierte Maschinen fahren zu können. Hostbasierte Paketfilter haben, sollen sie überhaupt zu etwas nütze sein, nichtinteraktiv und ausschließlich nach vom Administrator[1] festgelegten Regelsätzen zu arbeiten. Interessiert man sich dafür, welche "fremden" Pakete so alles aus dem WAN bei einem aufschlagen, kann man diese von Netfilter fein säuberlich loggen lassen oder gleich mit Sniffern/einem NIDS arbeiten. Gruß, Elmar [1] Der (als Person) natürlich durchaus mit dem Benutzer identisch sein darf... -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ······································································· Die eigene Erfahrung hat den Vorteil völliger Gewißheit. -- Schopenhauer
Attachment:
pgpU7JX3Y7zNP.pgp
Description: PGP signature