© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Ähm, kleine Ergänzung noch (fällt mir gerade auf) ...
jst_uk(at)gmx.net wrote:
> ...
> pass out log quick on tun0 proto tcp from any to any port = 80 flags S keep state
> ...
»flags S« ist generell keine gute Idee, da es nicht matcht
wenn neben SYN noch irgendein anderes Flag gesetzt ist (was
zwar beim initialen SYN nicht üblich, aber durchaus nicht
ausgeschlossen ist). Besser ist »flags S/SA«: Dies prüft,
daß das SYN-Flag gesetzt und das ACK-Flag nicht gesetzt
ist, und alle anderen Flags werden ignoriert. (»S/SA« wird
gelesen: »Das Flag S ist von den Flags S und A gesetzt.«)
Leider ist TCP/IP kein ganz einfaches Thema, und man kann
eigentlich nicht von jedem BSD- oder Linux-Nutzer erwarten,
daß er auf dem Gebiet Experte ist ... Andererseits ist ein
solides Grundwissen erforderlich, wenn man einen wirklich
guten und zur jeweiligen Situation passenden Regelsatz für
einen Paketfilter (gleichgültig ob IPFW, IPF oder PF) er-
stellen will.
Eine richtig gute Lösung für diesen Widerspruch gibt es
leider nicht ...
Entweder man beißt in den sauren Apfel, schnappt sich ein,
zwei gute Bücher (z.B. Stevens) und arbeitet sich systema-
tisch ein. Hat den Vorteil, daß man sich dann richtig gut
auskennt -- vermutlich besser als die meisten anderen Leu-
te, die von sich glauben, sich damit auszukennen. ;-)
Oder man schnappt sich einen fertigen Regelsatz von irgend-
einer Webseite, oder bastelt sich aus Schnippseln, die man
irgendwo gefunden hat, einen zusammen -- ohne das ganze bis
ins letzte Detail zu verstehen. Wenn man Glück hat, funk-
tioniert es, oder ist höchstens ein wenig suboptimal.
Schlimmstenfalls baut man unwissentlich und unbemerkt
Löcher ein, die den ganzen Paketfilter unwirksam machen.
Oder man läßt sich einen Regelsatz von jemandem erstellen,
der sich mit sowas auskennt (sowas machen wir z.B. auch),
aber das kostet i.allg. Geld und ist daher für einen Pri-
vatrechner meistens nicht praktikabel. Außerdem kann man
den Regelsatz nicht selbst pflegen, falls später mal nicht-
triviale Änderungen notwendig werden.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "I started using PostgreSQL around a month ago, and the feeling is similar to the switch from Linux to FreeBSD in '96 -- 'wow!'." -- Oddbjorn Steffensen To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 06 Jun 2006 - 17:43:07 CEST