On Thu, Jun 01, 2006 at 05:40:25PM +0200, Thomas Gräber wrote:
> Im Gegensatz zu pf, wenn ich das richtig verstanden habe, arbeitet iptables
> die Regeln von oben nach unten ab und nimmt die erste Regel, die passt, alle
> darunter werden für das Paket dann ignoriert.
Jein: zwar arbeitet iptables die Regeln erst mal "von oben nach unten" ab.
Aber zum einen kannst Du in iptables z.B. mittels "-j" die Reihenfolge der
Abarbeitung aendern. Zum anderen gibt es Regeln, die durchaus die weitere
Verarbeitung zulassen, sonst koenntest Du z.B. nicht erst loggen und dann
ein reject erzeugen.
Ein Beispiel:
$IPT -A icmp_packets --fragment -p ICMP -j LOG --log-prefix "DROP: "
$IPT -A icmp_packets --fragment -p ICMP -j DROP
Hier wird erst ein Log-Eintrag erzeugt, dann das Packet weggeworfen (es
koennte auch akzeptiert werden).
--jc
--
Ignorance more frequently begets confidence than does knowledge.
-- Charles Darwin
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
