Hi,
On Mon, May 11, 2009 11:53, Heiko Schlittermann wrote:
- -A ineth -p udp -m udp --sport 53 -j ACCEPT -A ineth -p tcp -m tcp --syn -j DROP -A ineth -p tcp -m tcp --dport 1024: -j ACCEPT
*) Was soll das?
Das soll zumindest besser sein als gar keine Firewall - was leider sehr haeufig anzutreffen ist. Ich behaupte nicht alle Details ueber netfilter zu wissen.
Alles UDP, was von Port 53 kommt, ist gut?
Nein, nur 95% sind gut. Der Rest wird vom Resolver gefilter oder kaeme auch durch eine Stateful-FW durch.
Ich halte das für gewagt.
Ich auch.
Von ``-m state --state ESTABLISHED,RELATED'' hälst Du nix?
Ich wuerde nicht sagen "nix", aber in diesem speziellen Fall: "relativ wenig".
Auf der anderen Seite schadet es nicht. Ich werde es heute abend mal mit in die Anleitung einbauen.
Wenn wir schon dabei sind und aus lauter Neugier: warum stossen Dir die beiden Zeilen danach (s.o.) nicht auf? ;-)
Die sind die stateless-Fassung von -A ineth -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Ist zwar auch nicht perfekt, aber wahrscheinlich besser als das o.a., oder bin ich blind?
Nein, Du bist nicht blind. Wenn Dir nochwas auffaellt lass' es mich wissen!
Konrad