Re: Fragen zu iptables

[Urs Traenkner <urs.traenkner@stud.tu-ilmenau.de>]

Kiro Zimmer wrote:
> On Thu, Apr 24, 2008 at 10:29:01AM +0200, Urs Traenkner wrote:
> > Solchen Bloedsinn will man zugunsten eines funktionierenden 
> > Netzwerks nicht haben. Ermoeglicht es doch nicht nur Denial of 
> > Service Attacken (indem man Anfragen mit gespooften IP Adressen 
> > "Angreifer" aussperrt, die eigentlich Zugriff haben sollen), es 
> > blaeht Dir auch unnoetig die Codebasis auf und damit hat es der 
> > Fehlerteufel leichter.

> Eventuell liest du bis zum Abschnitt Probleme, und findest dann dort
> auch die entsprechende Lösung?

Gut, soweit war ich nicht. Allerdings finde ich da weder die 
Regeln noch den Gedanken an besagter Stelle intuitiv / 
verstaendlich / nuetzlich / insert_random_buzzword_here.

Wenn ich nicht mehr logisch verstehe, was mir der Verfasser damit 
eigentlich sagen will (s/krude Idee/krude Idee 2 ist nicht 
logisch), verstoesst das so fundamental gegen KISS, dass ich das 
ganz sicher nicht mehr haben will. Zumal ich die grundsaetzliche 
Nuetzlichkeit immer noch in Frage gestellt sehe.

> > Ein ordentlich konfigurierter Dienst erzielt den gleichen Effekt. 
> > Oder sind des OPs Passwoerter so schwach, dass er zu solchen ugly 
> > hacks greifen musst? :]

> Es ist ein zusätzlicher Schutz.

Was dem einen sein Schutz, ist dem anderen sein Snakeoil.

> Das Logfile wird nicht mit tausenden
> fehlgeschlagenen Verbindungsversuchen überschwemmt.

Was will man sowas auch loggen?

> Außerdem hat man
> nicht immer Einfluss auf die Passwörter der Nutzer.

Soziale Probleme loest man nicht technisch. Hat nie funktioniert, 
wird es auch nie.

[snip]

Ich moechte dem OP empfehlen, von dieser Idee Abstand zu nehmen. 
Mehr als ein wohlig warmes Gefuehl wird er davon nicht bekommen. 
Und das laesst sich mit einer leckeren Bruehe auch erreichen - 
die nebenher noch mit einem greifbaren Effekt aufwarten kann.

Gruss Urs...