ipchains - jak povolit pristup I
Petr Novotny
Petr.Novotny na antek.cz
Pondělí Červenec 10 11:35:05 CEST 2000
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 10 Jul 00, at 11:30, Miroslav BENES wrote:
> > doporucuji povolit prijem z 0.0.0.0 1024:65535 a z 0.0.0.0 53 jak
> > tcp tak udp oba s flagem -b (bidirectional)
>
> Pomoci portu >= 1024 se neda delat prunik ?
Pomoci portu udelat prunik? To uz snad nejde hodne dlouho.
(Pomoci paketu shodit pocitac jeste obcas jde, kvuli chybam v
kernelu; ale na to staci jeden otevreny port.) Pomoci sluzby bezici
na danem portu? To je samozrejme jina otazka... :-)
Je asi zbytecne otevirat prilis moc portu. Je to hlavne proto, abyste
mel kontrolu. Ale principialni nebezpeci povolenim portu, na niz
stejne nikdo neposloucha, nehrozi. (Samozrejme, kazdou sluzbu
musite primerene chranit. Ale to je uz otazka te sluzby.)
> V domumentaci doporucuji
> omezovat pakety tcp prichazejici zvenku parametrem "! -y", aby prosly
> pouze data z navazaneho spojeni a aby se odmitlo navazani noveho
> spojeni. Je to ucinne ? Ma to smysl, pouziva se to ?
Pokud chcete byt opravdu dusledny, musel byste misto packet
filteru pouzit firewall. Packet filter je nestavovy; podivat se na paket,
zda v nem je SYN, a kdyz ne, propusti ho - takze pokud vytvorim
paket bez SYN, dostanu ho k vam do site (takhle se delaji nektere
scany - posilaji se pakety s ACK a bez SYN, aby se oblafly packet
filtery). Firewally obecne maji povedomi o navazanych spojenich,
takze paket bez SYN propusti _pouze_ pro jiz navazane spojeni
(pomoci paketu s SYN).
Nevim, zda existuje nejaky dobry firewall pro linux; na netu jsem
pouze vydal povsechne doporucovat BSD...
> > tcp pouzivaji pokud vim DNS servery na tzv ZONE transfer
A taky vsichni klienti, pokud se odpoved nevejde do UDP paketu.
(Je to malo bezne; dosahnete toho treba tim, ze si udelate desitky
MX zaznamu.)
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBOWmKulMwP8g7qbw/EQI4MQCfcXM0kqhVjbA0ZFFJbWQvqeLcglEAn1o3
pMGGnyiGiqoLA89lDtiYNJGG
=yNbz
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
[Tom Waits]
Další informace o konferenci Linux