* Heiko Degenhardt wrote on Wed, Apr 26, 2000 at 13:25 +0200:
Wenn Du keinen Webserver hast, haben Pakete, die das ACK-Bit tragen, nichts an Deinem Server Port 80/tcp zu suchen.
Dann wäre aber kein Client in der Lage, eine TCP Verbindung zu Deinem WWW-Server auch nur aufzubauen (RFC739).
Ich habe z.B. sowas wie $IPCHAINS -A input -p tcp -y -s 0/0 -d $WWWIP ! 80 -l -j DENY auf meinem Web-Server.
IIRC bedeutet das: alle tcp-Packete (-s 0/0 ist default wenn nicht angeben), die SYN, nicht ACK, nicht FIN zu einem Port != 80 aufbauen wollen, blocken. Damit sollten FIN, Xmas Tree und Null scans gegen Deinen Server funktionieren, da SYN nie gesetzt sein sollte, und Deine Regel nie zutrifft, also nie geblockt wird. Ich weiß ja nicht, welche Regeln Du noch hast, aber grundsätzlich ist es vermutlich einfach, per Default alles zu verbieten, und dann die erlaubten Sachen freizuschalten. Dabei kann man dann auch kein UDP, ICMP, GGP oder so vergessen. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com