Hi On Monday 30 September 2002 08:23, David Haller wrote:
==== IPT=/usr/sbin/iptables STATE_RE="-m state --state RELATED,ESTABLISHED" STATE_NRE="-m state --state NEW,RELATED,ESTABLISHED" WORLDIF="ppp0" [..] $IPT -A INPUT -i $WORLDIF $STATE_RE -j ACCEPT $IPT -A OUTPUT -o $WORLDIF $STATE_NRE -j ACCEPT ====
Das ist zwar sicherlich keine optimale Loesung, da es von intern alles akzeptiert, aber mit ein paar (restriktiven!) Regeln davor (z.B. fuer ungueltige Pakete, ports 137-139 etc.) sowie einer
Würde es nicht helfen eine OUTPUT-Regel "$IPT -A OUTPUT -o $WORLDIF -p tcp --dport 119 -j ACCEPT" zu verwenden und es bei einem "$IPT -A OUTPUT -o $WORLDIF $STATE_RE -j ACCEPT" zu belassen.
DROP-Policy sollte das eigentlich "passen" -- je nach Situation ist das natuerlich weiter einzuschraenken, z.B. auf bestimmte Protokolle, Ports usw.
Unter Umständen muss ein "$IPT -I ..." verwendet werden. Es kann ja sein, dass sonst vor den entsprechenden Regeln irgendwelche expliziten DROP-Regeln drinstehen. mfg Axel