On Tue, May 12, 2009 09:08, Heiko Schlittermann wrote:
Konrad Rosenbaum konrad@silmor.de (Mo 11 Mai 2009 18:11:45 CEST):
On Monday 11 May 2009, Grimnin Fridyson wrote: Es ist die Art der Konfigurationsfehler gemeint, bei der eine Regel *hinter* der Chain Blödsinn macht. Kleines Beispiel mit korrigierter Reihenfolge:
:INPUT DROP :ineth - :ineth2 -
-A INPUT -i eth0 -j ineth -A ineth -p icmp -j ACCEPT
Ich würde vielleicht nicht jedes ICMP reinlassen, sondern nur, wenn es zu Dingen gehört, die ich verursacht habe (bzw. wenn es ECHO-Request ist) (`-m state --state ESTABLISHED,RELATED', wobei es hier vor allem auf das "RELATED" ankommt.)
Ich sehe nicht wirklich welche ICMPs gefaehrlich genug sein koennen, um komplexere Regeln zu schreiben. Insbesondere bei IPv6 wuerde das sehr schnell ausarten, da es einige sehr wichtige Requests gibt (RD/RA, ND/NA, Redirect). Die Regeln fuer ICMP-Processing sind inzwischen so, dass sich die Firewall eigentlich keine Muehe geben muss.
-A ineth -p udp -m udp --dport 123 -j ACCEPT
Wozu das? Antworten auf NTP Queries? Hier wieder der Hinweis auf ``-m state''.
Nein, in diesem Fall Zitat aus einer Maschine die NTP-Server ist.
Konrad