ipfwadm
Pavel JANIK ml.
pjanik na aida.inet.cz
Pátek Červenec 4 21:53:58 CEST 1997
> ipfwadm -I -p deny
> ipfwadm -O -p deny
> ipfwadm -I -f
> ipfwadm -O -f
ok, nyni je default policy pro Incoming i pro Outgoing firewall deny.
> ipfwadm -I -a accept -k -P tcp -S 0.0.0.0/0 -D $LOCALHOST 80
Tento prikaz rika jadru, aby pridalo (-a) pravidlo pro prijimani (accept)
prichozich (-I) paketu s destination port 80/tcp (tedy www) odkudkoli (-S)
ale pouze za predpokladu, ze maji nastaven Ack flag (pri navazovani
spojeni).
> ipfwadm -O -a accept -P tcp -S $LOCALHOST 80 -D 0.0.0.0/0
Klasicky povolime odchozi pakety z web serveru.
> Predpokladam, ze by se meli zablokovat vsechny porty vyjma 80 I/O.
Tedy prvni paket, ktery posle nejaky klient, ktery se chce pripojit k
serveru vypada takto: SYN SeqNr=xxx poslany na port 80 , tento paket bohuzel
podle tvych pravidel je vyrizen podle default policy, protoze nema nastaven
flag ACK, ale SYN... k navazani spojeni tedy podle meho nazoru vubec
nedojde.
>
> Jenze se mi zda , jakoby ty 2 posledni prikazy nemeli zadny efekt (
> samozrejme, ze se provedou, v tabulkach fwadmi -I -l a -O jsou stopy
> jejich cinnnosti videt ;-)
>
> Mam nekde neco spatne ?
Zkus odstranit volbu -k... Treba to pomuze.
PJ
--
############################################################################
# #
# Pavel.JANIK na inet.cz #
# arch/sparc/kernel/smp.c: #
# #
# printk("Entering SparclinuxMultiPenguin(SMP) Mode...\n"); #
# printk("Penguin %d is stuck in the bottle.\n", i); #
# #
# PGP Public Key - http://www.inet.cz/~pjanik/ #
# Top URL - http://www.math.muni.cz/cgi-bin/LSD #
############################################################################
Další informace o konferenci Linux