Re: Frage zu iptables-Regel
Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de> writes:
> Jörg Schütter, 11.07.2004 (d.m.y):
>
>> On Sun, 11 Jul 2004 20:26:44 +0200
>> mario.neudeck@ziczac-stoffe.de (Mario Neudeck) wrote:
>>
>> > Folgende Regel ist mir nicht klar:
>> >
>> > iptables -A INPUT -p TCP ! --syn -m state NEW -j DROP
>> >
>>
>> der Sinn dieser Regel ist folgender: Keiner kommt auf den Router,
>> außer lokal mittels Tastatur.
>
> Widersprechen sich die Optionen "! --syn und -m state NEW" nicht?
Nein, die eine bezieht sich auf eine Eigenschaft des Pakets, die andere
darauf, was der Kernel über den Zustand der Verdindung weiß. Paßt die
Paketeigenschaft nicht zum Verbindungszustand (d.h. das Paket ist im
aktuellen Zustand ungültig), wird es verworfen.
> Ein gesetztes SYN-Flag im TCP-Paket signalisiert doch AFAIK den Wunsch
> zum Aufbau einer Verbindung, oder?
Ja.
> Oder soll diese Form nur eine Kurzform fuer "-m state ESTABLISHED,
> RELATED" darstellen?
Nein.
Martin
--
,--. Martin Dickopp, Dresden, Germany ,= ,-_-. =.
/ ,- ) http://www.zero-based.org/ ((_/)o o(\_))
\ `-' `-'(. .)`-'
`-. Debian, a variant of the GNU operating system. \_/
Reply to: