ipchains - jak povolit pristup I

[ATYP-Security]

"Miroslav BENES" <mbenes na tenez.cz> wrote in message
news:E139RGO-0007UJ-00 na mail.tenez.cz...
> > Vzhledem k tomu, ze "DNS komunikace" lze v pripade, ze neprovadite
> > dukladnou inspekci pruchoziho obsahu, jen tezko definovat jinak, nez
jako
> > UDP datagramy z urcitych IP adres se zdrojovym portem 53, pak to asi o
moc
> > lepe neudelate.
>
> To znamena, ze muze prijit takovy paket od jakehokoliv stroje ? A mam
> tedy povolit vsechny podobne pakety ?
>
> ipchains -A bad-if -p udp --sport domain -j ACCEPT
> ??????
doporucuji povolit prijem z 0.0.0.0 1024:65535 a z 0.0.0.0 53 jak tcp tak
udp oba s flagem -b (bidirectional)
tcp pouzivaji pokud vim DNS servery na tzv ZONE transfer
Doporucuji pouzivat lsof balicek pro zjistovani toho ktery proces ma
otevrene ktere porty a
ktere udp (nejde o scaner ale o lokalni sw)

To jako zaklad .. pokud chcete jeste vyzsi bezpecnost doporucil bych
analyzovat ktere stroje a z ktereho iface
muzo kam otevirat connect a podle toho zaradit este filtraci podle ACK flagu
v packetu...

> > > Ale nechodilo to - nenavazalo se ani ssh spojeni, neodpovidal squid,
> > > nechodily DNS dotazy. Nakonec jsme povolil na vnitrni siti veskery
> > > provoz :
chyba .... pomoci IE z vnitrni site muze prijit utok ani nevita jak ....