Re: Server antwortet nicht (Namensauflösung)
Thorsten Haude schrieb:
> warum
> erkenne ich daran aber, daß jemand Layer 3 und 4 nicht verstanden hat?
Layer 3 ziehe ich zurück, das kann ich nicht explizit belegen. Zu "Layer
4 und darüber" führe ich die schon bekannte Regel
| iptables -A OUTPUT -p tcp --sport 1024: --dport 22 -j ACCEPT # ssh
sowie
| # Wir betreiben ein paar Server
| iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT # our sshd
an. Meiner Meinung nach ist es nicht sinnvoll, hier jeweils auf "sport"
zu filtern. Denn meines Wissens kommen Antworten vom TCP-Server nicht
bzw. nicht unbedingt vom listening-Port und Anfragen vom TCP-Client
nicht (unbedingt) von einem "high"-Port. Aber das konnte ich auf die
Schnelle weder in RfC 793 noch in RfC 1122 finden. Dass ich dort aber
auch kein "must come from listening/high port" finden konnte, deutet
aber darauf hin, dass ich richtig liege.
Und was bitte ist ein "unsicherer Port", wegen dem der Verfasser
plötzlich das ganze System komplett öffnet?
| # Abgehende TCP-Verbindungen sind erlaubt, wenn auf beiden Enden der
| # Verbindung ein unsicherer Port benutzt wird. Unsicher, aber für
| # passives FTP notwendig, sofern -m state nicht benutzt wird.
| iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -j ACCEPT
Das ist nun wirklich großer Unsinn.
Aber das alles ist hier vollkommen off-topic. Sollte weiterer
Diskussionsbedarf bestehen, möge dies in de.comp.security.firewall
stattfinden.
mfG Paul
Reply to: