* Christian Schmidt <[EMAIL PROTECTED]> [010521 19:26]: Hallo Christian, nur so als Tipp: http://www2.little-idiot.de/firewall/
Ich habe das mit iptables gemacht, und zwar so, daß alle von außen kommenden Connections abgelehnt werden, alle von innen kommenden erlaubt sind. D.h. da die DNS-Anfrage ja ursprünglich von innen kommt, wird auch die Antwort acceptiert. ... ## Default Policy iptables -P INPUT DROP #input drop iptables -P FORWARD DROP #forward drop iptables -P OUTPUT DROP #output drop ... ## Erlaubt lo traffic -> solltest Du auch erlauben. iptables -A INPUT -s $WORLD -d $WORLD -i lo -j ACCEPT iptables -A OUTPUT -s $WORLD -d $WORLD -o lo -j ACCEPT ## Kette erstellen, die neue Verbindung blockt, es sei denn, sie kommen von innen. Wenn von außen, Springe zu Kette allowin iptables -N block iptables -A block -m state --state INVALID -j RETURN iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! $EXTERNES_INTERFACE -j ACCEPT # Syn-flood Schutz iptables -A block -p tcp -i $EXTERNES_INTERFACE --syn -m limit --limit 1/s -j allowin # Verstohlene Portscanner iptables -A block -p tcp -i $EXTERNES_INTERFACE --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j allowin #iptables -A block -m state --state NEW -p tcp -s $WORLD -i $EXTERNES_INTERFACE -j allowin # Ping of death iptables -A block -p icmp -i $EXTERNES_INTERFACE --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #iptables -A block -m state --state NEW -p icmp -i $EXTERNES_INTERFACE -j ACCEPT iptables -A block -j droplog ... ## Kette erstellen, die ausgehenden Traffic erlaubt iptables -N allowout iptables -A allowout -o $EXTERNES_INTERFACE -j ACCEPT iptables -A allowout -j droplog ... # Von INPUT und FORWARD Ketten zur Kette block springen iptables -A INPUT -j block iptables -A FORWARD -j block # Von OUTPUT Kette zur Kette allowout springen iptables -A OUTPUT -j allowout Hoffe es hilft. Gruß Uli -- Ulrich Wiederhold Clarenbachstraße 1 50931 Köln phone +49-221-2766619 -- ----------------------------------------------------------- Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Subject "unsubscribe <deine_email_adresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ----------------------------------------------------------- 848 eingetragene Mitglieder in dieser Liste.