On Wed, 29 Mar 2000, Petric Frank wrote:
Also muss ein Firewall her. Problem dabei ist die dynamische IP-Adresse, die ich (wier so viele) bei jeder Einwahl zugewiesen bekomme. Was mich stoerte, war, dass das Ganze immer ip-up/-down ablaeuft. Diese ipchains-Konfiguration moechte ich hier zur Diskussion stellen.
----- ipchains-rules Beginn --------- :input DENY
Faschist! ;-)
:forward DENY
Also keine weiteren Clients ..?
:output ACCEPT -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i ippp0 -p 6 \ -j ACCEPT ! -y
Wird problematisch bei Namensauflösungen, oder? Weil da nämlich meistens die Antwortpakete per UDP verschickt werden ...
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i ippp0 -p ! 6 \ -j ACCEPT
Aaah! Das ist UDP, nehme ich an ..? Ungewöhnlich, aber ...
----- ipchains-rules Ende ---------
Das kann man per ipchains-restore < ipchains.rules aktivieren.
Den Eintrag fuer eth0 hab ich nur, da noch ein internes Netz dranhaengt das alles darf.
Alles außer surfen! Dazu fehlt nämlich die Masquerading-Regel ;-)
Nun, was sagt ihr dazu. Das muesste doch fuer die Mehrzahl der Benutzer reichen. Zumindest Saint (Testprogramm) hatte danach keine Chanche mehr.
Ah jo -- ich bin auch erstmal irritiert :-) Ich handhabe alles ein bißchen *g* restriktiver, aber nach ein paar Bierchen sind alle Firewalls schön! Du läßt alles per UDP zu. Mich macht so etwas nervös. Um zur dynamsichen IP zurückzukommen: Du brauchst IMHO echo "7" > /proc/sys/net/ipv4/ip_dynaddr Mit "2" statt "7" klappt es auch (habe ich so aus dem Howto übernommen). Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com