Hi Guido, Guido Hennecke wrote: > >At 25.07.2001, Andreas Schockenhoff wrote: > > Quelle: > > http://netfilter.filewatcher.org/unreliable-guides/\ > > packet-filtering-HOWTO/packet-filtering-HOWTO.linuxdoc-5.html > > > > --------------------------------------------------------------- > > 5. Rusty's Really Quick Guide To Packet Filtering > > > > Most people just have a single PPP connection to the Internet, > > and don't want anyone coming back into their network, or the > > firewall: > > > > ## Insert connection-tracking modules (not needed if built into > > kernel). > > # insmod ip_conntrack > > # insmod ip_conntrack_ftp > > > > ## Create chain which blocks new connections, except if coming > > from inside. > > iptables -N block > > iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT > > iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT > > iptables -A block -j DROP > > > > ## Jump to that chain from INPUT and FORWARD chains. > > iptables -A INPUT -j block > > iptables -A FORWARD -j block > > ------------------------------------------------------------- > > Und das gleiche mit ipchains? > > und und und. > > Habe ich bereits beschrieben. Statefull Inspection mit ipchains? Statefull Inspection macht z.B. einen Port von innen nach außen durchlässig aber nicht von außen nach innen. Auch UDP Protokolle. (Schön z.B für DNS wenn man es selbst nicht nach außen anbieten will.) Schau es Dir mal an. (Kommt vieleicht in ein oder zwei Jahren wenn 2.4 besser getestet ist auch für Dich in Frage.)
> Ja, iptables ist sehr interessant und hat auch sehr interessante > Features. Allerdings sehe ich das Verhaeltnis von Gewinn an Sicherheit > durch neue Features und den Verlust an Sicherheit durch viele andere > Faktoren (wie beispielsweise mehr Code) nicht so positiv und wuerde > daher zur Zeit iptables nicht fuer wirklich kritische Systeme einsetzen. Die stehen aber nicht bei uns zu Hause oder? :-) damit klinke ich mich wieder aus der Diskussion aus :-) bye Andreas mailto:[EMAIL PROTECTED]
