[linux-l] iptables
ml-belug at epigenomics.com
ml-belug at epigenomics.com
Do Mär 23 07:59:10 CET 2006
On 23 Mar 2006 03:30:52 +0100,
"Volker Grabsch" <vog at notjusthosting.com> wrote:
> Beim Erlauben aller lokalen Pakete bin ich mir nicht sicher, was besser
> ist. Das erwähnte:
>
> /sbin/iptables -A INPUT -J ACCEPT -s 127.0.0.1
>
> oder lieber über das Netzwerk-Device festlegen:
>
> /sbin/iptables -A INPUT -J ACCEPT -i lo
>
> ? ... was von beiden ist "best practise"? Gibt es subtile Unterschiede,
> die man wissen sollte?
Hast Du auf den anderen Interfaces Anti-Spoofing-Regeln? Wenn nicht,
könnte ein Paket mit der Absenderadresse 127.0.0.1 ja auch über eth0
reinkommen. Da ist es also sicherer, das Interface und nicht die
IP-Adresse anzugeben. Da weiß man, was man hat.
Desweiteren würde ich uneingeschränkt den fwbuilder empfehlen. Nach
kurzer Einarbeitungszeit kann man damit Firewall-Regeln definieren, bei
denen man nicht die Übersicht verliert. Viele iptables-Zeilen in einem
Shellscript helfen manchmal nicht der Übersicht.
Grüße
--
Robert Sander
Mehr Informationen über die Mailingliste linux-l