Uwe Koloska wrote:
Hallo,
mußte mich gerade etwas intensiver mit der personal-firewall meiner SuSi 7.2 herumschlagen, da die Antworten vom Timeserver einfach ausgefiltert werden ...
Dabei habe ich etwas (jedenfalls für meine ungeschulten Augen) komisches entdeckt: Mit viel Aufwand werden alle udp Ports die mit laufenden Prozessen (netstat -nl) mit DENY geschlossen.
for p in <alle offenen udp ports>; do $ipchains -I $rulechain -p udp -d 0/0 $p -j DENY done
Jeder einzeln? Das halte ich für Schwachsinn. So schlimm war's ja nicht mal bei 7.0 Ich denke, daß das etwas anders ist. Warum ist das eigentlich ein '-I' und kein '-A' ?
Dann werden die Nameserver explizit geöffnet (domain -> any).
Das wäre nutzlos. Was einmal abgelehnt wurde kann nicht wieder akzeptiert werden, da es diese Regel nie erreichen würde.
Und dann werden alle udp Pakete generell verboten $ipchains -A $rulechain -p udp -j DENY
Das ist prinzipiell wieder richtig, alles was übrigbleibt wird abgelehnt.
Wenn sowieso alle udp Pakete geblockt werden, ist es da nicht sinnlos die einzelnen offenen Ports zuzumachen???
Es wäre sinnlos. Ich denke du hast den ersten Part falsch interpretiert.