[linux-l] iptables
Volker Grabsch
vog at notjusthosting.com
Fr Mär 31 22:25:09 CEST 2006
On Thu, Mar 23, 2006 at 06:59:10AM +0000, ml-belug at epigenomics.com wrote:
> > Beim Erlauben aller lokalen Pakete bin ich mir nicht sicher, was besser
> > ist. Das erwähnte:
> >
> > /sbin/iptables -A INPUT -J ACCEPT -s 127.0.0.1
> >
> > oder lieber über das Netzwerk-Device festlegen:
> >
> > /sbin/iptables -A INPUT -J ACCEPT -i lo
> >
> > ? ... was von beiden ist "best practise"? Gibt es subtile Unterschiede,
> > die man wissen sollte?
>
> Hast Du auf den anderen Interfaces Anti-Spoofing-Regeln?
Ich glaub, die sind bei Debian standardmäßig aktiviert. In der
/etc/network/options steht:
ip_forward=no
spoofprotect=yes
syncookies=no
> Wenn nicht,
> könnte ein Paket mit der Absenderadresse 127.0.0.1 ja auch über eth0
> reinkommen.
Ja, und? Das reicht maximal für ne DOS-Attacke, denn die Antwortpakete
werden ja nicht mehr ankommen, die schickt er doch an das lo-Device, wo
sie verpuffen, oder?
Und gegen DOS-Attacken muss man sowieso noch andere Regelsätze anwenden,
d.h. darum kümmert man sich eh noch an anderer Stelle (oder eben nicht,
wenn's kein Internet-Server ist).
> Da ist es also sicherer, das Interface und nicht die
> IP-Adresse anzugeben. Da weiß man, was man hat.
So ähnlich war auch meine Überlegung. Das "lo"-Device drückt viel
direkter aus, was man will.
Viele Grüße,
Volker
--
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR
Mehr Informationen über die Mailingliste linux-l