---

Jeg vil gerne kigge nærmere på IP Chains og IP Tables

Er disse pakker med i RH 7.2 ???

Hvad er forskellene mellem IP Chains og IP Tables - fordele og ulemper?
Hvad kan I ambefale ?


På forhånd tak

Mange venlige hilsner

fra

Carsten



--
/appendix123
appendix123@hotmail.com

---

Appendix123 wrote:

> Jeg vil gerne kigge nærmere på IP Chains og IP Tables
>
> Er disse pakker med i RH 7.2 ???

Ja.

> Hvad er forskellene mellem IP Chains og IP Tables - fordele og
> ulemper? Hvad kan I ambefale ?

Med lidt god vilje kan man sige at ipchains og iptables er to
forskellige generationer af samme produkt. iptables er det nyeste og
mest fleksible. Medmindre du har absolut brug for en 2.2 kerne (redhat
7.2 kommer med en 2.4 kerne) eller nogle funktioner fra ipchains, går
mit råd på at holde sig til iptables.

Læs evt. mere på http://netfilter.samba.org/

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
\ / ASCII ribbon campaign
X against HTML mail
/ \
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote:
>
> Appendix123 wrote:
>
> > Jeg vil gerne kigge nærmere på IP Chains og IP Tables
> >
> > Er disse pakker med i RH 7.2 ???
>
> Ja.
>
> > Hvad er forskellene mellem IP Chains og IP Tables - fordele og
> > ulemper? Hvad kan I ambefale ?
>
> Med lidt god vilje kan man sige at ipchains og iptables er to
> forskellige generationer af samme produkt. iptables er det nyeste og
> mest fleksible. Medmindre du har absolut brug for en 2.2 kerne (redhat
> 7.2 kommer med en 2.4 kerne) eller nogle funktioner fra ipchains, går
> mit råd på at holde sig til iptables.
>

FYI
Ipchains findes sådan set ikke på en 2.4 kerne, men du har
mulighed for at angive en kerneloption der muliggør brug af den
gamle syntaks som indput til iptables (bagudkompatiblitet). Der
er ikke nogen funktioner i ipchains(så hvidt jeg ved)som du ikke
kan lave bedre eller lige så godt med iptables.

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen wrote:

> Ipchains findes sådan set ikke på en 2.4 kerne, men du har
> mulighed for at angive en kerneloption der muliggør brug af den
> gamle syntaks som indput til iptables (bagudkompatiblitet). Der

De understøtter svjh officielt ipchains indtil 2005, men det bliver i
modsætning til iptables ikke længere udviklet - kun vedligeholdt.

> er ikke nogen funktioner i ipchains(så hvidt jeg ved)som du ikke
> kan lave bedre eller lige så godt med iptables.

Der er nogle få til med H.323, ICQ mv. som endnu ikke er færdiggjort
til iptables.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
[...] Note that 120 sec is defined in the protocol as the maximum
possible RTT. I guess we'll have to use something other than TCP
to talk to the University of Mars.
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote:
>
> Poul-Erik Andreasen wrote:
>
> > Ipchains findes sådan set ikke på en 2.4 kerne, men du har
> > mulighed for at angive en kerneloption der muliggør brug af den
> > gamle syntaks som indput til iptables (bagudkompatiblitet). Der
>
> De understøtter svjh officielt ipchains indtil 2005, men det bliver i
> modsætning til iptables ikke længere udviklet - kun vedligeholdt.
>
> > er ikke nogen funktioner i ipchains(så hvidt jeg ved)som du ikke
> > kan lave bedre eller lige så godt med iptables.
>
> Der er nogle få til med H.323, ICQ mv. som endnu ikke er færdiggjort
> til iptables.

Men det vil da ikke kunne fungere på en 2.4 kerne?

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen wrote:

>> Der er nogle få til med H.323, ICQ mv. som endnu ikke er færdiggjort
>> til iptables.
>
> Men det vil da ikke kunne fungere på en 2.4 kerne?

_Det_ har jeg ingen anelse om - jeg har ikke brugt ipchains -
udviklerne siger blot at de vedligeholder den eksisterende
ipchains-kode, men ikke udvikler den, i et stykke tid endnu.

De ovennævnte moduler er svjh eksterne patches (dvs. ikke inkluderet i
kernedistributionen) - om de bliver vedligeholdt har jeg ingen anelse
om...

Men ipchains er inkluderet i 2.4 kernerne - det benyttes f. eks. af
RedHats automatiske firewall-scripts.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
He has his own opinions
- just like the others.
- Burnin' Red Ivanhoe
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
news:9u4to7$kho$1@carlsberg.amagerkollegiet.dk...
> Poul-Erik Andreasen wrote:
>
> > Ipchains findes sådan set ikke på en 2.4 kerne, men du har
> > mulighed for at angive en kerneloption der muliggør brug af den
> > gamle syntaks som indput til iptables (bagudkompatiblitet). Der
>
> De understøtter svjh officielt ipchains indtil 2005, men det bliver i
> modsætning til iptables ikke længere udviklet - kun vedligeholdt.
>
> > er ikke nogen funktioner i ipchains(så hvidt jeg ved)som du ikke
> > kan lave bedre eller lige så godt med iptables.
>
> Der er nogle få til med H.323, ICQ mv. som endnu ikke er færdiggjort
> til iptables.
....og vi glæder os til at se om nogen snart kommer med en smart og god
løsning...:)

---

Peter Andersen wrote:

>> Der er nogle få til med H.323, ICQ mv. som endnu ikke er færdiggjort
>> til iptables.
> ...og vi glæder os til at se om nogen snart kommer med en smart og god
> løsning...:)

Kigger du i CVS-snapshottet af iptables, vil du møde en patch -
newnat-0.91.patch - som implmenterer det, som H323 og ICQ mangler for
at fungere med iptables.

Som du nok kan gætte betyder versionsnummeret, 0.91, at det ikke er
færdiggjort...

Der er skam også allerede et H.323 modul under udabejdelse, men det
kræver som sagt ovennævnte newnat-patch.

Ikke at jeg kender til tidsplaner eller status...

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
Expect the unexpected.
- HitchHikers Guide to the Galaxy, Douglas Adams
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

---

Jan Eliasen wrote:

> Og for lige at jeg er sikke rpå,a t jeg forstår hvad du siger; Jeg kan
> altså ikke bruge ICQ på mine andre maskiner, hvis jeg har en redhat
> 7.2 stående som router, der bruger iptables ?

Jo, men du får problemer med at modtage filer, chatsessioner ol.

Alm ICQ fungerer fint, men folk vil ikke kunne forbinde direkte til
dig. Med NAT er det umuligt; ellers skal du enten begrænse ICQ til at
besnytte bestemte porte eller åbne al indgående TCP over 1024

Så ICQ kan benyttes, men de obskure (og for mig overflødige) funktioner
kan ikke benyttes.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
There are two major products that come out of Berkeley: LSD and BSD.
We don't believe this to be a coincidence.
-- Jeremy S. Anderson
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Poul-Erik Andreasen wrote:


> Der er ikke nogen funktioner i ipchains(så hvidt jeg ved)som du ikke
> kan lave bedre eller lige så godt med iptables.
>
>

Ipchains har MEGET dårlig undersøttelse for statefull firewall, mener
jeg har set at det kunne lade sig gøre, men det er meget besværlig.

Statefull firewall er netop den ting jeg elsker ved iptables.

/Bo

---

---

Jan Eliasen wrote:

> On Thu, 29 Nov 2001, Peter Andersen wrote:
>
>> > Der er nogle få til med H.323, ICQ mv. som endnu ikke er
>> > færdiggjort til iptables.
>> ...og vi glæder os til at se om nogen snart kommer med en smart og
>> god løsning...:)
> Jeg forstår ikke den øverste sætning - hvad er problemet?

Heh, der mangler vist nogle ord

Problemet er at H323 og ICQ kræver noget infrastruktur, som netfilter
ikke understøtter endnu. Det er under udvilking men er ikke færdigt
endnu.

Det skyldes at H323 og ICQ kræver mere end 1 'expected'-forbindelser -
og netfilter i dets nuværende form kan kun håndtere 1
expected-forbindelse pr. etableret forbindelse.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
Don't you hate yourself in the morning?
- Sleep till noon!
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Jan Eliasen <eliasen@cs.auc.dk> writes:

> Æh.. Hvad er H323?

Voice over IP. Telefon via IP-netværk.

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix