:INPUT DROP :ineth - :ineth2 -
-A INPUT -i eth0 -j ineth -A ineth -p icmp -j ACCEPT -A ineth -p udp -m udp --dport 123 -j ACCEPT -A INPUT -i eth1 -j ineth2 -A INPUT -i eth2 -j ineth2 -A ineth2 -j ACCEPT
Nehmen wir mal an eth0 ist aussen, eth1 und eth2 sind intern.
Sollte ich jetzt aus irgendeiner Dussligkeit heraus -i eth1 und -i eth2 als -i eth+ zusammenfassen dann habe ich den Salat, weil alles akzeptiert wird statt wie erwartet auf eth0 nur ICMP und NTP zu erlauben.
Daher ein Paranoia-DROP am Ende jeder Device-Chain. Hat auch den netten Nebeneffekt dass es Protokolle abfängt von denen ich noch nix weiß (GRE, IP-in-IP, IP/Sec, SCTP, etc.pp.).
ist schon klar, und auch alles verständlich,
doch gibt es beispiele wo es dir nix hilft
deshalb war die aussage von mir auch halb ernst gemeint es gibt beispiele wie dein erwehntes wo es hilfreich ist aber es schütz nicht gegen alle fehler die man so machen kann (leider das währe auch zu schön, aber dann währe man als firewall admin wohl auch arbeitslos), und wenn man wirklich paranoid ist schlisst man den rechner nicht ans netz :-)
habe nur mal kurz gelesen was mich persönlich etwas stört ist das man auf den Gedanken kommt UDP --> TCP setzen 'nur' auf IP auf
Ich hatte keine Lust alle Einzelheiten von TCP/IP zu erklären. Daher auch die Links auf Wikipedia.
tcp/atm gibt es auch was ich sagen wollte es muss nicht immer ip sein
nicht mehr nicht weniger,
man könnte meinen es gäbe nur tcp/ip
tcp kann man auch durch udp ersetzen
Ja, TCP und UDP können auch auf IPv6 laufen und sie benutzen das Schwesterprotokoll ICMP für bestimmte Fehler und IPv4 benutzt auch noch ARP auf Link-Ebene (IPv6 benutzt da bestimmte neue ICMP-Messages).
Es ist nicht sonderlich sinnvoll ICMP oder ARP in einer Firewall zu behandeln (die Mode ICMP-Ping zu filtern ist vorbei).
Wo genau liegt Dein Problem?
kein problem nur ein hinweis
Was genau kann ich noch klarer schreiben?
siehe oben, muss man aber nicht
Muss ich wirklich TCP/IP Grundlagen komplett erklären?
ne (dann macht man noch gern den 'fehler' und vermicht das tcp/ip model mit dem osi 7 sichten model (tcp/ip kennt 4 sichten))
andreas
Konrad