Die Lösung muß wohl so aussehen, daß am Ende der Chain eine Regel mit Logging steht, die alle Pakete so behandelt, wie es die Policy täte.
ACK. Nochmal zusammenfassend: Die DENY-Policy gehört ganz an den Anfang des Skriptes, um sicherzustellen, dass diese schon gesetzt ist, wenn das Skript z.B. durch einen Syntaxfehler aussteigt. Die default-Policy ist nämlich ACCEPT und hätte bei einem Skriptabbruch zur Folge, dass das Paket, auf das bis zum Abbruch keine Regel zugetroffen hat, durchgelassen wird. Bei ipchains heißt es etwas salopp "die erste passende Regel gewinnt". So kann man als letzte Regel einer jeden Chain - wie Eilert ja gesagt hat, ich möchte das nur für Manuel am Beispiel illustrieren - eine Regel anhängen, die jedes Paket, das bis dahin vorgedrungen ist, verwirft und loggt.
Beispiel für die Input-Chain:
ipchains -P input DENY # Policy setzen
[hier alle Regeln] --> Sobald eine zutrifft, wird sie auf das Paket angewandt. | | Keine Regel hat gepasst, daher als letzte Regel: |
ipchains -A input -j DENY -l # Das Paket ist bis hierher # vorgedrungen, jetzt wird es ver- # worfen und geloggt.
Gruß, Stephan
Danke, das ist wohl die einzige möglichkeit die es mit ipchains gibt. Ich habe mir nun mit verschiedenen Netzwerkmonitoren weitergeholfen wie z.B. iptraf.