Am Mit, 25 Okt 2000 schrieb Joerg Zimmermann: Hi!
#Input-Regeln für das Internet-Device: TCP-Pakete $IPC -A input -i $PPPIN -p tcp -y --dport 0:1023 -j DENY $IPC -A input -i $PPPIN -p tcp --dport 139 -j DENY
Im Unterschied zur ersten Regel wird hier keine Unterscheidung zwischen dem ersten und allen weiteren Packeten gemacht. Ausserdem betrifft es hier nur den Port 139.
[...]
Ok, mal anders ausgedrueckt: Zuerstmal alles ablehnen, ABER an die folgenden Regeln weitergeben. (Policity DENY). Ab jetzt, alle Packete auf die weiteren Regeln pruefen. Sobald eine Regel zutrifft, und dabei ist es egal ob Sie das Packet ablehnt oder angenommen wird, wird mit dem Packet der Regel entsprechend verfahren. EGAL was danach noch fuer Regeln kommen. Daraus folgt, das die Reihenfolge der Regeln, einen erheblichen Einfluss auf die Effizienz der Packetfilterung hat. Im uebrigen hat Sie auch Einfluss auf die Performance der packetfilterung.
Ich glaube, ich habŽs im Prinzip kapiert. Obwohl Policy Ž§IPC -P input DENYŽ gesetzt ist, müssen bei einer anschließenden ACCEPT-Regel wie: $IPC -A input -i $PPPIN -p tcp -j ACCEPT gewollte Ausnahmen von dieser Regel mit DENY nochmal explizit gesetzt werden. Und zwar vor dieser ACCEPT-Regel, was der menschlichen Logik wiederspricht. Warum hast Du das nicht gleich gesagt? :-) Ist das kompliziert! Jetzt habe ich nur noch das Problem, daß mein rules-file, das ich geschrieben habe, nicht ausführbar ist. Eingeleitet habe ich mit #!/bin/sh # /sbin/ini.d/myiprules und einen link nach /sbin/init.d/rc3.d gelegt. Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com