Firewalling

[Leos Bitto]

On Mon, 27 Apr 1998, Peter Stibrany wrote:

> Tak ma v suvislosti s firewallmi napadlo, ci kernel kontroluje, ci je
> prichadzajuci paket urcitou castou TCP streamu. 

Strucne receno: ano, pokud ho o to pozadate. No a nemusite cist dal. ;)

> Napr. ak mam povolene ze dnu mozu chodit len pakety na telnet port, a von
> mozu chodit vsetky tcp a zvnutra sa spojim so svetom, pricom spojenie bude
> vytvorene smerom napr. od 127.0.0.1:3213 do 195.98.10.22:23, tak potom

Mala odbocka: nikdy tam nebude zdrojova adresa 127.0.0.1 - vzdy to bude
adresa nejakeho "opravdoveho" sitoveho interface. Jak by se jinak
routovaly pakety zpatky?

> budu pakety prichadzat na port 3213, co nie je telnet port. Takze by mali
> byt zlikvidovane. Zaujima ma, ci prejdu dalej. (Q)

Viz minule cislo Linuxovych novin, tam o tom Yenya napsal hezky clanek. 
Zrovna tohle je mozne vyresit parametry -y a -k u prikazu ipfwadm. Velice
zjednodusene receno jde o to, ze je mozne rozeznat ten uplne prvni paket
ktery navazuje TCP spojeni od tech ostatnich. Takze pokud zakazete aby do
vnitrni site chodily ty prvni pakety (ktere od ostatnich poznate) tak se
tim znemozni navazani TCP spojeni iniciovane z vnejsi site, ale spojeni
iniciovana z vnitrni site fungovat budou bez omezeni. Vazne si prectete
ten clanek v Linuxovych novinach, pochopite to z nej lepe.

No a kdyz tu uz tenhle problem zaznel... nedavno jsem nahrazoval jeden
firewall bezici na Windows NT+Steelhead Linuxem. To vzdycky potesi. :)
Kdyz jsem se chtel kouknout jak bylo nastavene filtrovani paketu, zhrozil
jsem se. Oni tam meli napriklad recene ze vsechny TCP pakety co maji na
strane serveru v internetu port 80 mohou projit dovnitr. Hmm. Takze pote
co jsem jim ukazal z internetu vystup prikazu prikazu "echo GET / | nc -p
80 jejich.interni.www.server 80" tak se nestacili divit. Jen ze zvedavosti
jsem tim Steelheadem proklikaval (nikdy preditim jsem s nim nedelal) a
neprisel jsem na to zda je tam mozne nastavit u jednotlivych pravidel i
to same co delaji v Linuxu u ipfwadm napr. flagy -y a -k, tedy rozeznavani
jednotlivych priznaku ve hlavicce paketu. Myslim si ze by to jit melo, to
je preci zakladni vec...bez toho je ten firewall celkem k nicemu... je to
sice od Microsoftu ale presto se mi nechce verit ze by tam takova zakladni
vec nesla... mohl by mi tedy nekdo kdo to vi rict zda to jde nebo ne? Jsem
proste jen zvedavy. A staci mi jen tenhle jeden bit informace. :) Vic 
vedet nepotrebuju, ty NTcka jsou stejne uz preinstalovana Linuxem. :)



Leos Bitto