On Wed, 13 Nov 2002, Michael Meyer wrote:
Matthias Houdek wrote:
iptables -P INPUT -j DROP iptables -P OUTPUT -j DROP iptables -P FORWARD -j DROP (da du ja 2 Netzwerkkarten hast)
Diese Regeln werden immer ausgeführt, wenn innerhalb der entsprechenden Regelkette nichts anderes für das jeweilige Datenpaket greift.
warum immer 'drop'? 'http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny'
oder: REJECT vs. DROP/DENY wenn man Firewalls (auch ein Packetfilter ist eine Firewall im weiten Sinn, gell Matthias:), einrichtet muss man sehr pedantisch und paranoid sein, frei nach Murphy: das unwahrscheinlichste passiert zuerst. Also wird alles weggeschmissen was unerwuenscht ist. CRacker muss dann erstmal Aufwand treiben um festzustellen, dass da was ist (z.B. ein Packetfilter). Wenn der ein REJECT kriegt, dann hat er den sicheren Beweis dass er weiter- machen kann (auf diesem Port), genau das was ein Scan rausfinden will ! Security by Obscurity ist zwar nicht zu empfehlen, aber in diesem Fall ist es ein zusaetzlicher Schutz, zumin. vor dusseligen Script-Kiddies. Und paranoid wie ich bin, versendet eine Firewall niemals ICMP, und erlaubt es auch nicht (wer wissen will warum schaut sich dazu an wie diverse Trojaner kommunizieren, z.B. BackOrifice). AFAIK ist ICMP heute im Internet obsolete, allenfalls in geschlossenen Netzen zur inter-router-kommunikation sinnvoll. Erst wenn Sicherheit kein Thema (mehr) ist denke ich darueber wieder nach. Achim