SOLVED: Pasivni prenos FTP - co to presne znamena?
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Čtvrtek Listopad 30 10:00:00 CET 2000
Zdravim,
dekuji vsem, zejmena na nakopnuti na SYN flag (tedy -y) u TCP
protokolu, spravne reseni problemu je nasledujici:
ipchains -A input -p icmp -j ACCEPT
ipchains -A input -p udp --source-port 53 -j ACCEPT
ipchains -A input -d <stroj> ! -y -j ACCEPT
ipchains -A input -p tcp --source-port 20 -j ACCEPT
ipchains -P input DENY
Uvedena pravidla umoznuji nasledujici (aspon jsem o tom presvedcen:))-
libovolne spojeni iniciovane ze <stroj> do Internetu (po tom samem
kanalu), aktivni i pasivni FTP prenos a resolvovani dle DNS. (Povoleni
TCP prenos pro DNS je jednak zahrnuto v pravidlu 3, jednak neni treba,
protoze TCP je uplatni jen pri prenosu cele zony). Vse ostatni je
striktne zakazano. Doplnit pouziti sluzeb na <stroj> lze jednoduje...:
ipchains -A input -d <stroj> <port> -p <protocol> -j ACCEPT
Pravidla je vhodne doplnit -i <interface>, napr. doplnit povoleni
veskereho provozu na loopbacku (ipchains -A input -i lo -j ACCEPT)
Dotaz:
Vzhledem k tomu, ze Linux je pomerne odolny vudci ruznym utokum (napr.
pres ICMP, fragmentovany packety apod.), lze stroj jeste vice (pomoci
dalsich explicitnich pravidel) chranit pred utoky zvenci? Napada mne
napr. zakazat nektere typy zprav u ICMP, ale je to vhodne? ucelne? a
ktere? Znate nejaky ICMP utok na Win2000?
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Anenska 11, 602 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux