On Wednesday 25 July 2001 16:08, Guido Hennecke wrote: > Hallo, > > At 25.07.2001, Gerhard Engleder wrote: > > On Wednesday 25 July 2001 14:13, Guido Hennecke wrote: > > [...] > > > > So, welche bekannten Probleme hast Du denn bei ipchains, die die > > > Sicherheit deiner Paketfilter negativ beeinflussen? Was bringen dir die > > > neuen Features von iptables und wirkt sich ein mehr an Code wirklich > > > positiv auf die Sicherheit aus? > > > > > > Nein! > > > > Also ich finde die Anordnung der Chains FORWARD, INPUT und OUTPUT > > bei iptables wesentlich logischer als bei ipchains. > > In wie fern?
Packete die weitergeleitet werden gehen nur durch FORWARD. INPUT und OUTPUT sind für nur für Pakete lokaler Prozesse. > > > Auch denke ich, dass > > Erweiterungen wie limit sicher ihre Berechtigungen haben. > > Welche? Mit limit kann man beschränken wie oft eine Regel zutreffen darf. Zum Beispiel wenn man nur ein SYN-Packet pro Sekunde zulassen will. > > Es ist doch auch sicher ein Vorteil wenn man Dinge genauer angeben > > kann (-i o. -o gegenüber nur -i), oder??? > > Bitte beschreibe das mal genau. Ich kann bei iptables mit -i das Inputinterface und mit -o das Outputinterface angeben. Bei ipchains hängt das Interface (-i) davon ab in welcher Chain ich mich befinde. Kann also die Abfrage von Input- und Outputinterface in einer Chain (nur FORWARD) machen, was die Übersichtlichkeit sicher erhöht. Gerhard -- ----------------------------------------------------------- Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Subject "unsubscribe <deine_email_adresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ----------------------------------------------------------- 867 eingetragene Mitglieder in dieser Liste.