Mailinglist Archive: opensuse-de (5973 mails)

[anmeyer@xxxxxxx (Andreas Meyer)]

Am Mit, 25 Okt 2000 schrieb Joerg Zimmermann:

Hi!

> #Input-Regeln für das Internet-Device: TCP-Pakete
> $IPC -A input -i $PPPIN -p tcp -y --dport 0:1023   -j DENY
> $IPC -A input -i $PPPIN -p tcp    --dport 139      -j DENY
>
> Im Unterschied zur ersten Regel wird hier keine Unterscheidung
> zwischen dem ersten und allen weiteren Packeten gemacht. Ausserdem
> betrifft es hier nur den Port 139.

[...]

> Ok, mal anders ausgedrueckt:
> Zuerstmal alles ablehnen, ABER an die folgenden Regeln weitergeben.
> (Policity DENY).
> Ab jetzt, alle Packete auf die weiteren Regeln pruefen. Sobald eine
> Regel zutrifft, und dabei ist es egal ob Sie das Packet ablehnt oder
> angenommen wird, wird mit dem Packet der Regel entsprechend
> verfahren. EGAL was danach noch fuer Regeln kommen. Daraus folgt,
> das die Reihenfolge der Regeln, einen erheblichen Einfluss auf die
> Effizienz der Packetfilterung hat. Im uebrigen hat Sie auch Einfluss
> auf die Performance der packetfilterung.

Ich glaube, ich hab´s im Prinzip kapiert. Obwohl Policy 
´§IPC -P input DENY´ gesetzt ist, müssen bei einer anschließenden
ACCEPT-Regel wie:

$IPC -A input -i $PPPIN -p tcp            -j ACCEPT

gewollte Ausnahmen von dieser Regel mit DENY nochmal explizit
gesetzt werden. Und zwar vor dieser ACCEPT-Regel, was der
menschlichen Logik wiederspricht.
Warum hast Du das nicht gleich gesagt? :-) Ist das kompliziert!

Jetzt habe ich nur noch das Problem, daß mein rules-file, das ich
geschrieben habe, nicht ausführbar ist.
Eingeleitet habe ich mit #!/bin/sh
                         # /sbin/ini.d/myiprules
und einen link nach /sbin/init.d/rc3.d gelegt.

Gruß

-- 
  Andreas Meyer  http://home.wtal.de/MeineHomepage

---------------------------------------------------------------------
To unsubscribe, e-mail: suse-linux-unsubscribe@xxxxxxxx
For additional commands, e-mail: suse-linux-help@xxxxxxxx