004
03.09.2004, 08:55 Uhr
~Benny
Gast
|
Guten Morgen -------- Bin noch LInux Anfänger, bitte habt geduldt :o)
Zitat
Code: |
Ich würd mir an deiner Stelle mal das conntrack-Modul von netfilter ankucken. Ist so was ähnliches wie -m state, aber deutlich mächtiger. Ansonsten würd ich die Port_range-Schleife mit -m multiport zusammenfassen und die Ports, so weit möglich, nicht mit Zahlen, sondern den Bezeichnungen aus der /etc/services benennen.
|
könntest du darauf etwas genauer eingehen, wie soll ich das mit den Ports und der Port_range machen? Warum soll ich keine Zahlen verwenden?
Zitat
Code: |
Dann könnte man drüber nachdenken, ICMP drastisch einzuschränken, z.B. nach draußen nur noch echo-request (ping) und von draußen nur noch echo-reply (pong) und destination-unreachable durchzulassen, und von innen könnte man bestimmte ports nach draußen sperren, die irgendwelche spyware oder sonstiger Kram benutzt. Aber ansonsten sieht das schon ganz brauchbar aus.
|
d.h., es wär ein Sahnehäubchen, aber nicht zwingend, was könnte jetzt noch alles passieren?
Grüßer Benny |