Re: Server antwortet nicht (Namensauflösung)

[Paul Muster <exp-311207@news.muster.dyndns.info>]

Thorsten Haude schrieb:

> warum
> erkenne ich daran aber, daß jemand Layer 3 und 4 nicht verstanden hat?

Layer 3 ziehe ich zurück, das kann ich nicht explizit belegen. Zu "Layer
4 und darüber" führe ich die schon bekannte Regel

| iptables -A OUTPUT -p tcp --sport 1024: --dport  22 -j ACCEPT	# ssh

sowie

| # Wir betreiben ein paar Server
| iptables -A OUTPUT -p tcp --sport   22              -j ACCEPT	# our sshd

an. Meiner Meinung nach ist es nicht sinnvoll, hier jeweils auf "sport"
zu filtern. Denn meines Wissens kommen Antworten vom TCP-Server nicht
bzw. nicht unbedingt vom listening-Port und Anfragen vom TCP-Client
nicht (unbedingt) von einem "high"-Port. Aber das konnte ich auf die
Schnelle weder in RfC 793 noch in RfC 1122 finden. Dass ich dort aber
auch kein "must come from listening/high port" finden konnte, deutet
aber darauf hin, dass ich richtig liege.


Und was bitte ist ein "unsicherer Port", wegen dem der Verfasser
plötzlich das ganze System komplett öffnet?

| # Abgehende TCP-Verbindungen sind erlaubt, wenn auf beiden Enden der
| # Verbindung ein unsicherer Port benutzt wird.  Unsicher, aber für
| # passives FTP notwendig, sofern -m state nicht benutzt wird.
| iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -j ACCEPT

Das ist nun wirklich großer Unsinn.


Aber das alles ist hier vollkommen off-topic. Sollte weiterer
Diskussionsbedarf bestehen, möge dies in de.comp.security.firewall
stattfinden.


mfG Paul