Konrad Rosenbaum konrad@silmor.de (Mo 11 Mai 2009 18:11:45 CEST):
On Monday 11 May 2009, Grimnin Fridyson wrote:
Das ACCEPT fuer TCP ist noetig, sonst funktionieren von innen etablierte Verbindungen nicht. Das finale DROP am Ende meiner Chains ist reine Paranoia - Absicherung gegen Konfigurationsfehler.
hast du jetzt die ironietags vergessen
Nein.
weil wenn eine Regel mir erlaubt reinzugehen auch wenn sie "falsch" ist macht ein drop es nicht wieder gut
weil wie entscheidet ein "-A ineth -j DROP" über Konfigurationsfehler?
Es ist die Art der Konfigurationsfehler gemeint, bei der eine Regel *hinter* der Chain Blödsinn macht. Kleines Beispiel mit korrigierter Reihenfolge:
:INPUT DROP :ineth - :ineth2 -
-A INPUT -i eth0 -j ineth -A ineth -p icmp -j ACCEPT
Ich würde vielleicht nicht jedes ICMP reinlassen, sondern nur, wenn es zu Dingen gehört, die ich verursacht habe (bzw. wenn es ECHO-Request ist) (`-m state --state ESTABLISHED,RELATED', wobei es hier vor allem auf das "RELATED" ankommt.)
-A ineth -p udp -m udp --dport 123 -j ACCEPT
Wozu das? Antworten auf NTP Queries? Hier wieder der Hinweis auf ``-m state''.
Es ist nicht sonderlich sinnvoll ICMP oder ARP in einer Firewall zu behandeln (die Mode ICMP-Ping zu filtern ist vorbei).