Hi Andreas,
From: Andreas Meyer
Am Mit, 25 Okt 2000 schrieb Joerg Zimmermann:
Hi!
#Input-Regeln für das Internet-Device: TCP-Pakete $IPC -A input -i $PPPIN -p tcp -y --dport 0:1023 -j DENY $IPC -A input -i $PPPIN -p tcp --dport 139 -j DENY
Im Unterschied zur ersten Regel wird hier keine Unterscheidung zwischen dem ersten und allen weiteren Packeten gemacht. Ausserdem betrifft es hier nur den Port 139.
policity DENY bedeutet erst mal alles verbieten und DANN auf folgende Regeln weiterleiten. Fuer die Regeln gilt, die erste passende Regel wird genommen, alle weiteren werden nicht mehr versucht. Du erreichst damit also, sofern diese Regeln ganz am Anfang stehen, das Packete fuer eine "netbios session" welche
von
Deinem Weltdevice kommen, abgelehtn werden, egal was danach fuer Regeln kommen.
Daß bei der ersten Zeile nach der allgemeinen DENY für den Input-Filter eine Lockerung für die SYN-Pakete durch -y erfolgt
wieso Lockerung? Ich lese da in beiden Zeilen ein fettes DENY. Hier wird alles unterbunden was ueber das device $PPPIN kommt und eine Verbindung initiert.
leuchtet mir ja noch ein, daß aber die zweite Zeile dann nochmal ausdrücklich kommt, trotz allgemeinem DENY für Input, das verstehe ich nicht. Diese Zeile blockiert den Port 139 vollständig. Ist das nicht schon durch Ž$IPC -P input DENYŽ geschehen?
So, die zweite Regel unterbindet "netbios session" ueber das device $PPPIN, egal von wo die Verbindung initiert wurde. Wie gesagt -P steht fuer policity. Sollte aus meiner ersten Mail hervorgehen. Lies doch bitte nochmal den ersten Satz. Ok, mal anders ausgedrueckt: Zuerstmal alles ablehnen, ABER an die folgenden Regeln weitergeben. (Policity DENY). Ab jetzt, alle Packete auf die weiteren Regeln pruefen. Sobald eine Regel zutrifft, und dabei ist es egal ob Sie das Packet ablehnt oder angenommen wird, wird mit dem Packet der Regel entsprechend verfahren. EGAL was danach noch fuer Regeln kommen. Daraus folgt, das die Reihenfolge der Regeln, einen erheblichen Einfluss auf die Effizienz der Packetfilterung hat. Im uebrigen hat Sie auch Einfluss auf die Performance der packetfilterung. by Joerg --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com