© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
As Alexander Langer wrote:
> und dann in /etc/firewall nur noch die rules, a la:
>
> root(at)neutron ~ $ head /etc/firewall
> ############
> # Only in rare cases do you want to change these rules
> add 100 pass all from any to any via lo0
> add 200 deny all from any to 127.0.0.0/8
Die werden übrigens in Deiner Konfiguration bereits automatisch durch
/etc/rc.firewall eingefügt, Dein /etc/firewall wird erst danach
geladen. (Bei natd_enable fügt es auch noch eine divert-Regel ein.)
> ############
> # Stop RFC1918 nets on the outside interface
> #add deny all from 192.168.0.0:255.255.0.0 to any via isp0
> #add deny all from any to 192.168.0.0:255.255.0.0 via isp0
> add deny all from 172.16.0.0:255.240.0.0 to any via isp0
Nur mal so: ich sehe keinen vernünftigen Grund, warum man die ersten
beiden rauskommentieren will, vorausgesetzt, isp0 ist wirklich ein
Interface zum Internet. Was dagegen IMHO fehlt (auch in den
rc.firewall Beispielen) sind `antispoofing'-Regeln, also das
Blockieren von Paketen mit der eigenen Netzwerkadresse, die aber von
draußen reinkommen.
-- cheers, J"org / 73 de DL8DTL joerg_wunsch@uriah.heep.sax.de -- http://www.sax.de/~joerg/ -- NIC: JW11-RIPE Never trust an operating system you don't have sources for. ;-) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sat 08 Apr 2000 - 09:50:45 CEST