Hallo Thomas, Thomas Kaepernick, 09.02.2006 (d.m.y): > Am Tue, Feb 07, 2006 at 08:20:46PM +0100, schrieb penguin: > > Hallo, > > Ich würde gerne einige Dienste an bestimmte Netzwerkkarten binden, so > > das Sie nicht von der jeweils anderen Netzwerkkarte aus > > sichtbar/erreichbar sind. > > Ich weiß nicht, ob ich ganz richtig liege. Aber wenn Du mit iptables in den > policies alles dropst und dann die jeweiligen Dienste an der entsprechenden > Karte freigibst? Das ist IMO nicht der richtige Weg. Wenn man einen Dienst nicht anbieten will, dann ist es etwas hirnrissig, ihn zu aktivieren und dann mit einem Paketfilter den Zugriff darauf zu sperren. Viele Dienste bringen von sich aus die Moeglichkeit mit, per Konfiguration nur auf einem oder bestimmten Interfaces zu lauschen. Und wo kein Dienst lauscht, muss man ihn dann auch nicht schuetzen. Ist das nicht oder nur schwierig moeglich, so kann man oftmals ueber entsprechende Eintraege in /etc/hosts.allow und /etc/hosts.deny festlegen, welche Rechner und/oder Netze auf den Dienst zugreifen duerfen (dazu muss das entsprechende Binary AFAIK gegen die libwrap gelinkt sein, was man mit "ldd" erfahren kann). Einen Paketfilter kann man dann quasi als "doppelten Boden" noch drumherumbasteln. Gruss, Christian Schmidt -- Sei gewiß, daß nichts dein Eigentum sei, was du nicht inwendig hast. -- Matthias Claudius
Attachment:
signature.asc
Description: Digital signature