Am 11.08.2009 um 21:24 schrieb Dirk Salva:
On Tue, Aug 11, 2009 at 08:27:45PM +0200, Spiro Trikaliotis wrote:$IPTABLES -A IcmpEcho -i eth0 -j DROP $IPTABLES -A IcmpEcho -i ra0 -j DROPUnd das Problem wäre immer noch nicht gelöst, weil es für alle _ausser_ eth0 und ra0 gelten soll (also _auch_ bis dato noch nicht bekannte oderdem System neu hinzugefügte Adressen, so daß diese automatischabgedeckt würden). Das ist mein Sicherheitsgedanke dahinter: die Regelngelten automatisch für alle Schnittstellen _außer_ diejenigen, die ich mit ! ... ausgeschlossen habe. Scheint wohl aussichtslos zu sein:-(
*erm* Oben kommen die Regeln hin, die die Kommunikation über eth0 und ra0 gestatten und danach folgt eine simple "Is nich" (aka "REJECT/ DROP")-Regel für den Rest, die dann auch eventuell neu hinzugekommenen Schnittstellen erfasst. Wenn die ACCEPT-Regeln für eth0 und ra0 reichlich komplex sind, dann gibt's halt dafür in der Haupttabelle einen Sprung in eine separate IPTABLES-Tabelle um die Übersicht zu bewahren.
Der Gedanke deines Paketfilters scheint ja nicht zu sein "Ich kenn' da ein paar Dinge, die wüßte ich gerne unterbunden.", also dedizierte "REJECT/DROP"-Regeln, sondern "Ich kenn' da ein paar Dinge, die dürften schon übers Netz gehen!", also dedizierte "ACCEPT"-Regeln. Dann würde ich das auch exakt so umsetzen.
-- Gruß, Peter