ipchains - jak povolit pristup I

Petr Novotny Petr.Novotny na antek.cz
Pondělí Červenec 10 11:35:05 CEST 2000


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 10 Jul 00, at 11:30, Miroslav BENES wrote:

> > doporucuji povolit prijem z 0.0.0.0 1024:65535 a z 0.0.0.0 53 jak
> > tcp tak udp oba s flagem -b (bidirectional)
> 
> Pomoci portu >= 1024 se neda delat prunik ?

Pomoci portu udelat prunik? To uz snad nejde hodne dlouho. 
(Pomoci paketu shodit pocitac jeste obcas jde, kvuli chybam v 
kernelu; ale na to staci jeden otevreny port.) Pomoci sluzby bezici 
na danem portu? To je samozrejme jina otazka... :-)

Je asi zbytecne otevirat prilis moc portu. Je to hlavne proto, abyste 
mel kontrolu. Ale principialni nebezpeci povolenim portu, na niz 
stejne nikdo neposloucha, nehrozi. (Samozrejme, kazdou sluzbu 
musite primerene chranit. Ale to je uz otazka te sluzby.)

> V domumentaci doporucuji
> omezovat pakety tcp prichazejici zvenku parametrem "! -y", aby prosly
> pouze data z navazaneho spojeni a aby se odmitlo navazani noveho
> spojeni. Je to ucinne ? Ma to smysl, pouziva se to ?

Pokud chcete byt opravdu dusledny, musel byste misto packet 
filteru pouzit firewall. Packet filter je nestavovy; podivat se na paket, 
zda v nem je SYN, a kdyz ne, propusti ho - takze pokud vytvorim 
paket bez SYN, dostanu ho k vam do site (takhle se delaji nektere 
scany - posilaji se pakety s ACK a bez SYN, aby se oblafly packet 
filtery). Firewally obecne maji povedomi o navazanych spojenich, 
takze paket bez SYN propusti _pouze_ pro jiz navazane spojeni 
(pomoci paketu s SYN).

Nevim, zda existuje nejaky dobry firewall pro linux; na netu jsem 
pouze vydal povsechne doporucovat BSD...

> > tcp pouzivaji pokud vim DNS servery na tzv ZONE transfer

A taky vsichni klienti, pokud se odpoved nevejde do UDP paketu. 
(Je to malo bezne; dosahnete toho treba tim, ze si udelate desitky 
MX zaznamu.)


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOWmKulMwP8g7qbw/EQI4MQCfcXM0kqhVjbA0ZFFJbWQvqeLcglEAn1o3
pMGGnyiGiqoLA89lDtiYNJGG
=yNbz
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]


Další informace o konferenci Linux