iptables --syb drop



  • Hallo Forum,

    ich möchte anstatt der normalen Router SW OpenWRT einsetzen und schraube an den Firewall Regeln herum. Im Internet schaue ich mir gerade ein paar Skripte an. Ich bin noch nicht komplett dahinter gekommen was es mit dieser Regel auf sich hat:

    iptables -A INPUT -i eth0 -p tcp [b]--syn[/b] -j DROP
    

    eth0 ist das Interface zum Internet. Die Regel wird der Filter Table in der Input Chain als letztes angefügt. Das heißt hier tauchen nur Pakete auf die sich an den Router selbst richten, die Pakete die sich wegen NAT an ein anderes Ziel richten tauchen hier gar nicht auf. Die Pakete die den Router von aussen erreichen sollen (SSH Zugriff) wurden bereits accepted. Die Syn Pakete entstehen nur bei der Aufnahme einer TCP Verbindung wenn beiden die TCP-Sequenznummern austauschen. Warum Droppe ich hier speziell die Syn Pakete? Ich könnte doch hier pauschal einfach alles droppen?

    Vielen Dank

    Peter


Log in to reply