[Fli4l_dev] bootzeit
Alexander Dahl
lespocky at web.de
Mi Aug 1 11:10:48 CEST 2018
Hallo Holger,
Holger Bruenjes schrieb Mittwoch, 1. August 2018, 10:17 (CEST):
>> Die INPUT chain regelt Zugriffe auf den Router selbst, keine gerouteten
>> Pakete. D.h. alle Dienste, die auf einem Port des Routers lauschen,
>> müssen über INPUT im Paketfilter bearbeitet werden. Wenn für INPUT der
>> default DROP oder REJECT sein sollte, musst Du den ssh-Port da
>> freigeben.
>
> Das ist nun in meinen Augen eine Koppelung von Abhaengigkeiten. Wenn
> SSH auf Port 22 erlaubt werden soll, kann das doch nicht von einer
> zusaetzlichen INPUT Regel abhaengig sein. bzw. ist nicht in der Doku
> erklaert, dass dafuer weitere Parameter in einer anderen Datei
> geschaltet werden muessen.
Da besteht keine Abhängigkeit. Es gibt Dienste und es gibt den
Paketfilter. Ein Automatismus ist hier IMHO unangebracht. Die Strategie
ist, dass der Paketfilter per default alles so weit wie sinnvoll dicht
macht und der Nutzer/Administrator gezielt freigibt. Ansonsten wäre der
Router ja offen wie ein Scheunentor. Das mag für Workstations oder auch
Server erwünscht oder normales Vorgehen sein, für einen – oder sagen wir
diesen – Router ist das nicht so.
Wenn das in der Doku nicht klar wird, muss die Doku verbessert werden!
>> Nein, es heißt, dass es nicht aktiv ist. Die Geschichte mit optional
>> gilt nur für OPT_FOO=yes/no. Effektiv scheinst Du den fli4l für Zugriffe
>> aus dem internen Netz gesperrt zu haben, eben über die INPUT chain.
>
> hmm, dass ist Insider Wissen, siehe
Ja, das mag sein. Auch hier ist das dann ein Ansatzpunkt zur
Verbesserung der Dokumentation.
> Mag sein, dass mir nach all den Jahren, ohne den fli neu
> aufzusetzen, das Verstaendnis fuer die Zusammanhaenge fehlt.
> Alle die die Kiste 10mal am Tag zum testen neu aufsetzen haben da
> ein ganz anderes Wissen.
Das ist sicher so, dafür sind diese Nutzer ja hier un helfen bei
Problemen und Fragen. :-)
Liebe Grüße
Alex
--
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF 08FA 34AD CD00 7221 5CC6
Mehr Informationen über die Mailingliste Fli4l_dev