Re: offene Ports

Datumsansicht Baumansicht Betreffansicht Attachement-Sicht

From: Michael Lestinsky (michael_at_zaphod.rhein-neckar.de)
Date: 28. Sep 2000


Am 27.09.'00 schrieb Sebastian Stark:
> > Kann man problemlos alle Ports gegen Eingaben von außen schließen, oder
> > hieße das, daß da auch dann nichts reinkommen könnte, wenn die
> > Verbindung von innen initiiert wird.
>
> Geht natuerlich mit allen Paketfiltern. Wie, das haengt davon ab, welchen du
> verwendest.

Wenn du IPFilter verwendest, dann heisst das "keep state" und ist
ziemlich Klasse. Angeblich sollen neuere ipchains das auch können, da
hab ich aber keine praktische Erfahrung.

Was mir an ipfilter auch sehr gut gefällt ist, dass man ein
Config-File hat, und dieses auch human-readable ist. Kurzer Auszug:

#v+
# Deny Spoofing of nonroutable IP-Adresses
# Outbound:
block out log quick on tun0 from any to 192.168.0.0/16
block out log quick on tun0 from any to 172.16.0.0/12
block out log quick on tun0 from any to 10.0.0.0/8
block out log quick on tun0 from any to 127.0.0.0/8
# Inbound:
block in log quick on tun0 from 192.168.0.0/16 to any
block in log quick on tun0 from 127.0.0.0/24 to any
block in log quick on tun0 from 10.0.0.0/8 to any
block in log quick on tun0 from 172.16.0.0/12 to any
#v-

(tun0 ist mein PPP-Device.)

BTW: hat eigentlich schonmal jemand mit ipfilter unter Linux
gearbeitet? Ich verwende es eigentlich nur unter OpenBSD, weil es da
Bestandteil des Systems ist.

Bye
Michael

-- 
Man sollte Gott nicht danach beurteilen, wie ihm diese Welt gelungen ist. 
Aber es muss ein Meister sein, wer sich solche Schnitzer erlauben kann.
      - Prof. Harald Lesch


Datumsansicht Baumansicht Betreffansicht Attachement-Sicht

Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET