policy deny mit logging, wie exclude ich broadcasts?

[killerhippy]

Hi packetfilterkenner,

ich habe mir eine eigenen restriktiven packetfilter mit ipchains zusammengebaut.

die policies stehen alle auf DENY, anschliessen gebe ich frei, was ich brauche und mache wieder ein deny von source alle nach source alle mit logging fuer jede chain ganz am ende.

funzt auch von der funktionalitaet her, nur tauchen seitdem im logfile die denied broadcasts vom smbserver auf dem rechner auf.

wie muss die Rule zum denien ohne logging fuer broadcasts vor der allerletzten rule lauten?

Auszug:
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
/sbin/ipchains -F
/sbin/ipchains -P forward DENY
/sbin/ipchains -P input DENY
/sbin/ipchains -P output DENY
/sbin/ipchains -X
...
ipchains -A input -s 192.168.1.0/24 137:139 -d 192.168.1.0/24 137:139 -p udp -j ACCEPT
ipchains -A input -s 192.168.1.0/24 137:139 -d 192.168.1.0/24 137:139 -p tcp -j ACCEPT
...
ipchains -A input -s 0/0 -d 0/0 -l -j DENY
...
...
ipchains -A output -s 192.168.1.0/24 137:139 -d 192.168.1.0/24 137:139 -p udp -j ACCEPT
ipchains -A output -s 192.168.1.0/24 137:139 -d 192.168.1.0/24 137:139 -p tcp -j ACCEPT
...
ipchains -A output -s 0/0 -d 0/0 -l -j DENY
</font><hr></pre></blockquote>

und noch:
---schnipp---
kernel: Packet log: output DENY eth0 PROTO=17 192.168.1.200:138 255.255.255.255:138 L=248 S=0x00 I=187 F=0x0000 T=64 (#21)
---schnapp---

thanx so lot

[me, myself and I]

man solls ja nicht glauben, aber ich hab's herausgefunden.
man muss nur auf die Netzmaske hinter der IP verzichten und schon funzts.

Sascha