On Mon, 06 Nov 2000, thomas wrote:
Die Frage ist ob du Back-Connects zulässt oder nicht (-y) ... is das ein grosses loch was ich damit aufmach ? ich bin da nich so ganz der fachmann ...
-y ist dann ein Problem, wenn du SYN-Packets zulassen willst - aber das ist nur dann der Fall, wenn du Back-Connects benötigst, oder von aussen Erreichbar sein willst. Alles andere dürfte dann SYN-Flooding sein - und spätestens jetzt weisst du warum du das eher abklemmen willst ;) Das ist langsam "esotherisch" (?) und damit mehr eine philosphische Frage der Firewall-Konzeption: - alles ACCEPT und nur das dicht machen was "kritisch" ist - alles DENY und nur das aufmachen was benötigt wird Wir verfolgen letzteres bei uns - was aber auch deutlich mehr Know-How erfordert ;) Wenn du also Back-Connects sperrst dann hast du ein FTP-Problem - vorallem im Aktive-FTP Bereich. Hier noch eine entschärfte Variante unseres Scripts: for i in $DMZ_FTP; do for k in $UNPRIV_PORTS; do $IPCHAINS -A ext-out -p tcp -s $i $k -d 0/0 ftp -j ACCEPT $IPCHAINS -A ext-out -p tcp -s $i $k -d 0/0 ftp-data -j ACCEPT $IPCHAINS -A ext-in -p tcp -d $i $k -s 0/0 ftp ! -y -j ACCEPT $IPCHAINS -A ext-in -p tcp -d $i $k -s 0/0 ftp-data ! -y -j ACCEPT # Argh, active ftp, may connect *from* port 21: $IPCHAINS -A ext-in -p tcp -d $i $k -s 0/0 ftp-data -j ACCEPT done done und sowas ist auch sehr oft vorteilhaft: # icmp packets within fragments SPERREN $IPCHAINS -A input -p icmp -s 0/0 -l -f -j DENY # auth doesn't make much sense $IPCHAINS -A input -p tcp -d 0/0 auth -j REJECT -l Mit freundlichen Grüßen, Joerg Henner. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 J. Henner & A. Reyer, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Consulting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com