Mein Diskussionsvorschlag:
Dabei ist mir aufgefallen, dass man nicht die anti-spoofing Regeln testen kann. "ipchains -C" sagt, dass Packete die von 127.0.0.1 per Interface ppp0 kommen erlaubt sind. Was eigentlich nicht sein duerfte.
####### Protect against Fake lokal IPs ## input ipchains -A input -j DENY -l -i ! lo -s 127.0.0.0/8 ipchains -A input -j DENY -l -i ppp0 -s 192.168.1.0/24 ipchains -A input -j DENY -l -s 172.16.0.0/12 ipchains -A input -j DENY -l -s 10.0.0.0/8 ## output ipchains -A output -j DENY -l -i ! lo -d 127.0.0.0/8 ipchains -A output -j DENY -l -i ppp0 -d 192.168.1.0/24 ipchains -A output -j DENY -l -d 172.16.0.0/12 ipchains -A output -j DENY -l -d 10.0.0.0/8
christian
lug-dd@mailman.schlittermann.de