Martin Schmitz schrieb am Montag, 20. September 2004 15:55:
On Monday 20 September 2004 11:26, Andreas Scherer wrote:
Am Montag, 20. September 2004 09:58 schrieb Jürgen Knelangen:
On Mon, Sep 20, 2004 at 09:12:48AM +0200, Torsten E. wrote:
Martin Schmitz schrieb am Sonntag, 19. September 2004 22:56:
On Sunday 19 September 2004 16:53, Torsten E. wrote:
[...]
Das würde also bedeuten, dass SuSE asoziales Verhalten fördert indem bei der SuSE-Firewall per default Pakete gedropt werden und _nicht_ rejected. Oder habe ich Dich falsch verstanden?
Ja. Sollte das tatsächlich den "default"-Einstellungen von SuSEs "Firewall" entsprechen, so ist das tatsächlich unsinnig und asozial von SuSE. Die "personal-firewall" "rejectet" die Anfragen übrigens ordnungsgemäß. TCP/IP funktioniert nunmal nach bestimmten Regeln. Wenn da jeder sein eigenes Süppchen kocht, dann können wir die Interoperabilität des Internets ganz schnell vergessen. Wer näheres dazu wissen möchte, der lese RFC 1122.
Um es mal mit einer einfachen Analogie zu versuchen: Du bist oft in fremden Städten unterwegs. Um Dein Ziel zu finden, fragst Du die Leute auf der Straße nach dem Weg und erhälst oft freundliche Antworten, die Dir weiterhelfen. Wenn Dich nun zu Hause jemand nach dem Weg fragt, gehst Du dann einfach weiter, ohne wenigstens zu sagen "tut mir Leid, ich kenne den Weg auch nicht"?
Das unbeantwortete Wegwerfen von IP-Paketen ist in der IP-Kommunikation über TCP nunmal nicht vorgesehen. Es ist technisch auch nicht haltbar, daß so ein Verhalten irgendeinen Vorteil gegenüber dem regelgerechten bringt.
Nun, ich abe nun einmal die Einstellung geändert (wenn das nun tatsächlich die Einstellungen sind): # /etc/sysconfig/SuSEfirewall2 # # for use with /sbin/SuSEfirewall2 version 3.1 which is for 2.4 kernels! ... #FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" FW_CUSTOMRULES="" ... # 26.) # Do you want to REJECT packets instead of DROPing? # # DROPing (which is the default) will make portscans and attacks much # slower, as no replies to the packets will be sent. REJECTing means, that # for every illegal packet, a connection reject packet is sent to the # sender. # # Choice: "yes" or "no", if not set defaults to "no" # # FW_REJECT="no" FW_REJECT="yes" Ein Beenden & Neustarten der FW2 erbrachte keine Änderung, und nach einem Neustart des Systems erscheint folgendes in den Logdateien: Sep 20 16:52:44 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 ... Sep 20 16:52:44 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 ... Sep 20 16:52:45 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 ... Sep 20 16:52:47 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 ... Sep 20 16:52:49 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 ... Sep 20 16:52:50 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 ... Sep 20 16:52:51 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 ... Sep 20 16:52:52 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 ... Sep 20 16:52:53 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 ... Da ist nichts mit REJECTen ... und nun?
Martin
Torsten