Linux jako firewall

Leos Bitto bitto na kolej.mff.cuni.cz
Pondělí Duben 7 23:18:50 CEST 1997


On Mon, 07 Apr 1997 22:40:18 +0200, Igor Lazo <ILazo na merlin.cz> wrote:
>> druha varianta je pouzit pri kompilaci jadra ip firewall a pomoci
>> ipfwadm nastavovat politiku na jednotlive sluzby a stroje, pripadne
>> sitove rozhrani. U nas je to napr. udelano tak, ze je zakazan pristup
>> pres vnejsi interface (ppp0) adresam z vnitrku nasi site.
>> Lze nastavit toto chovani:
>>         povoleni - accept
>>         zakaz - deny (vubec neodpovida)
>>         vyhod? - reject (userovi hlasi: conection refused (pouze TCP))
>> Pro prichozi pakety, odchozi pakety, forwardovane pakety atd. atd.
>
>Mel bych tri otazky:
>
>a) Da se v nejake verzi Linuxu zachytavat/zahazovat IP datagramy
>s nastavenym options bytem strict/loose source routing ? (U CISCa
>je to NO IP SOURCE-ROUTE)

V Linuxu 2.0 se to nastavuje pri kompilaci jadra, volba "Drop source routed 
frames" - standartne je o zaskrtnute takze source routing nefunguje.

>b) Da se v nejake verzi Linuxu zachytavat/zahazovat IP datagramy
>na zaklade testu IP adresa takova a makova, protokol ten ci onen,
>port VETSI/MENSI NEZ cosi ? (dobre pro osetreni ftp callbacku)

Vse na co se ptate jde. Potrebujete Linux 2.0. Linux 1.2 to neumel. Viz man 
ipfwadm. Kdyz DAVATE TAKOVY DURAZ na to vetsi/mensi tak upozornuji ze vetsi 
nez 1024 znamena vlastne rozmezi portu 1024 az 65535 a rozmezi portu se 
nastavit da.

>
>c) Obcas slychavam (JPP), ze Linux dokazi sikulove nabourat i tehdy,
>kdyz pomoci ipfwadm nastavim na prislusnem portu reject (a ne deny).
>Staci pry libovolna odezva z portu. Vi (a povi ?) o tom nekdo neco ?
>Nejaky konkterni odkaz ? Je to nesmysl ? Ja vim, ke kazdemu Linuxu
>jsou zdrojaky, ale muj den ma take jen 24 hodin a moje zena se synem
>maji navic hlad :-)
>
>Diky

Ja si myslim ze to je nesmysl. Jde spis o to ze kdyz nekdo zjistuje jestli
na dane IP adrese je nejaky pocitac tak kdyz mate na portu reject tak zjisti
ze tam je nejaky pocitac ale odmita spojeni. Kdyz tam date deny tak vubec 
nepozna ze tam nejaky pocitac je. Anebo nepozna zda je zapnuty kdyz uz vi ze 
tam nejaky urcite je.

Muj osobni nazor je ze spravne nakonfigurovany firewall na bazi Linuxu je
opravdu hodne bezpecny. Jina vec je ze je jednoduche na neco pri konfiguraci
firewallu zapomenout - ale pak je problem mezi zidli a klavesnici.



                                                       Leos Bitto
                                                <bitto na kolej.mff.cuni.cz>


Další informace o konferenci Linux