a) Ok. :) Ich schlag mich dann mal durch die entsprechenden Threads.
b) Meine Frage bleibt bestehen - denn: Die vorgesehene Funktion kann das doch trotzdem nicht sein, oder? :?
Du hast im stopscript eigentlich bloß vergessen die Default-Policy der INPUT Chain wieder auf ACCEPT zu setzen - dadurch wird natürlich alles eingehende dann auch nach iptables -F auf den Müll gekübelt...
Ansonsten sind iptables z.B. für Logging und Routing recht gut geeignet, als Firewall auf einem Applicationserver hingegen nicht da alles was dort ankommt bereits vorher gefiltert sein sollte.
Eine Firewall schützt per Definition Netzwerk A vor Netzwerk B.
Ausnahmen sind die sog. Desktopfirewalls die Windowsuser vor sich selbst schützen (Homecalls von Raubkopieen unterbinden etc.).
Vielen Dank für deine Antwort, tcs.
Grundsätzlich habe ich auch vor, die Firewall zum Loggen einzusetzen und - um Benutzer auf dem System daran zu hindern, Ports aufzumachen. Das sollte doch damit möglich sein, oder?
natürlich ist das möglich - nur wäre dann zu überlegen was man den Usern überhaupt erlauben will. Wenn ich schon den Verdacht habe daß jemand irgendeinen Port aufmachen wird wenn ich ihn auf meinen Server lasse bekommt er einen chrooted FTP Account und gut ist. Shellaccounts gibt's nicht, php/scripting bei Websites bekommt er so gerade genug daß sein Webkram mit ach und krach laufen kann.
Außerdem ist zu bedenken daß Script für iptables ein weiterer Punkt auf dem Server ist der Wartung und Aufmerksamkeit benötigt, daß er eine potenzielle Fehlerquelle ist hast Du ja auf die gemeine Tour gesehen
Grundsätzlich ist bei Linux eigentlich immer genügend Werkzeug dabei daß man auf Applikationsebene (oder Filesystemebene) sehr präzise eingrenzen kann was ein User darf und was nicht, hier würde ich ansetzen und ihm nicht Narrenfreiheit bis zu den iptables lassen - überspitzt ausgedrückt.
