Re: Grafische Administration für iptables
Hi,
> Elmar W. Tischhauser wrote:
> Tatsache, dass das /im Kernel/ implementierte Paketfiltern
> GUI-Abhängigkeiten bekommt mindestens genauso haarsträubend wie die
> Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend
> konfigurierte Maschinen fahren zu können.
Es handelt sich um ein Hilfsmittel für die Konfiguration, nicht für den
Betrieb.
> Interessiert man sich dafür, welche "fremden" Pakete so alles aus dem
> WAN bei einem aufschlagen, kann man diese von Netfilter fein säuberlich
> loggen lassen oder gleich mit Sniffern/einem NIDS arbeiten.
Im Moment arbeite ich mit
iptables -X
iptables -N logdrop
iptables -A logdrop -j LOG --log-prefix "IPTABLES Dead "
iptables -A logdrop -j DROP
# iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j logdrop
# iptables -P INPUT DROP
iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i ippp+ -j logdrop
--
mfg
Matthias Taube
Reply to: