Hi, 0n 03/08/14@14:12 Christoph Bohm told me:
Maik Holtkamp schrieb:
---cut--- work:~# iptables -t nat -L ... MASQUERADE all -- syl.holtkamp.priv anywhere MASQUERADE all -- mobil.holtkamp.priv anywhere ---cut---
Das sind reine Linux Clients.
---cut--- work:~# iptables -L Chain INPUT (policy DROP) ... ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP) ... ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ---cut---
Mein Sohn hat hier noch eine dualboot Maschine 98/woody. Wenn ich ihn maskieren wuerde, waere er gefaerdet oder wuerde das connection tracking die Pakete verwerfen?
TIA.
Versteh ich nicht. Natürlich sollte Dein Sohn auch über NAT ins Internet gehen. Wenn Du nicht mehr als einen Zugang zuhause hast, dann weiß ich ehrlich gesagt gar nicht, wie das auch sonst gehen sollte, dann müßtest Du ja für die Windose immer die Kabel vom Router/FW-Rechner auf die Dose umstecken...
Der geht ueber squid. squid-guard kuemmert sich dabei um die groebsten Sauereien (bitte keine META Diskussion) und seinen mail Verkehr regelt exim. News koennte er ueber leafnode machen. Solange er kein edonkey, irc, online-gaming oder sowas will, sehe ich keinen Grund seinen Rechner zu maskieren.
Die Liste mag mich schlagen, aber wenn ich mich nicht irre, sollte das msblaster-Problem einfach durch ein
iptables -A INPUT -p tcp --dport 135 -j DROP iptables -A INPUT -p udp --dport 135 -j DROP
zu erschlagen sein - unabhängig davon, welches BS der Rechner hinter der FW fährt.
Sowiel ich ueber das Teil weiss, sollte das reichen. Bei mir sind die Dienste auch nur an das intere Interface gebunden, daher sollte es eh' egal sein. Aber morgen ist es vielleicht port 4711 und uebermorgen habe ich so excessive Filterregeln, dass die Kiste nicht mehr aus dem Kreutz kommt, daher waere es gut, wenn sich einfach das connection tracking darum kuemmern wuerde ohne ein Firewallscript zu schreiben das keiner mehr ueberblicken kann. -- bye maik