Archiv verlassen und diese Seite im Standarddesign anzeigen : IPTABLES Standard Policy - Frage
Hallo,
Anlass dieses Postings ist ein Thread von El_Barto (http://www.linuxforen.de/forums/showthread.php?t=150993)
Durch anschliessende Recherche im Internet fand ich heraus, dass empfohlen wird folgende Drop-Regel zu setzen:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Ist diese Regel nicht überflüssig, wenn als Policy
iptables -P INPUT -j DROP
gesetzt ist?
sie ist nur überflüssig, wenn keine andere regel in der chain diese pakete fälschlicherweise annehmen würde
bspw.:
iptables -I INPUT 1 -p tcp -j ACCEPT
hebt deine DROP Policy dahingehend aus
greeu
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Ist diese Regel nicht überflüssig, wenn als Policy
iptables -P INPUT -j DROP
nein, die erste regel sollte generell ganz oben stehen weil pakete, die zu keiner connection gehören (NEW) aber kein syn-bit gesetzt haben, ungültig sind. deshalb auch das DROP anstelle von REJECT. anderenfalls könnten nachfolgende regeln das paket durchlassen.
-j
sie ist nur überflüssig, wenn keine andere regel in der chain diese pakete fälschlicherweise annehmen würde
bspw.:
iptables -I INPUT 1 -p tcp -j ACCEPT
hebt deine DROP Policy dahingehend aus
greeu
Aber nur für TCP Pakete.
Sonst müsste sie
iptables -I INPUT 1 -j ACCEPT
heissen.
Grüsse, Stefan
Danke, dann setze ich die mal bei meinem System.
Aber nur für TCP Pakete.
Sonst müsste sie
iptables -I INPUT 1 -j ACCEPT
"syn" trifft nun mal nur für tcp zu ;)
greez
vBulletin® v3.8.6, Copyright ©2000-2012, Jelsoft Enterprises Ltd.