sslug-teknik team mailing list archive

[Anna Jonna Armannsdottir <a@xxxxxxxxxxxx>]

On Wed, 16 May 2001 01:42:12 MONZ wrote:
> Anna Jonna Armannsdottir wrote:
> > 
> > On Tue, 15 May 2001 22:46:55 Mads Jacobsen wrote:
> > > Betyder følgende linier:
> > >
> > > $IPCHAINS -A input -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0
> > > smtp -j ACCEPT
> > > $IPCHAINS -A input -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0
> > > pop-3 -j ACCEPT
> > > $IPCHAINS -A input -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0
> > > www -j ACCEPT
> > >
> > > - at al tcp-trafik på port 25, 80 og 110 har fri
> > > passage begge veje? Og hvad betyder det i så fald for
> > > sikkerheden på mit netværk?
> > Ja - det tror jeg. :(
> 
> Nææ, det er jo INPUT kæden vi snakker om. Den definerer ikke reglerne
> bidirektionelt (medmindre -b flaget bruges), så reglerne gælder 'udefra
> omverdenen' og 'indad' til det interne net.
Set fra Linux kernens synspunkt, er input noget der kommer udefra og ind 
i maskinen. Kernen kan ikke vide hvilket interface er tilsluttet det
interne net 
og hvilket interface er tilsluttet omverdenen. Derfor skelner den ikke
mellem 
input på det ene eller det andet netkort. 
Tilsvarende er output det som er på vej fra kernen og ud mod et interface. 

Man kan sætte sine firewall regler op således at den skelner mellem
interfaces 
men det er ikke gjort i de ovenstående regler, derfor står alle interfaces
lige. 

-- 
med venlig hilsen, Anna Jonna Armannsdottir       
Fyrkildevej 98 (sttv)          Tel: 98 15 67 93
DK-9220 Aalborg Oest           ICQ: 108017016
Find my key: http://www.keyserver.net: GnuPG key ID: 0x6349D8FB 
fingerprint: E44F A8B9 5088 0036 C0C6  DD2C 9575 7DFE 6349 D8FB
                       ...ooO0Ooo...
   One Linux to rule them all, One Resolver to find them,
   One IP to bring them all and in the zone to bind them.