ipchains a prichozi konexe

Michal Ludvig mic na logix.cz
Neděle Září 3 22:38:05 CEST 2000


On 3 Sep 2000, Nathan L. Cutler wrote:

> ipchains presne na tohle ma option "-y", coz v pripade input chain znamena
> prichozi konexe. Zakazat vsechny prichozi (TCP) konexe krome ftp, ssh a
> http lze zhruba takto: [...]

Coz o to, z ciste teoretickeho hlediska by kazde spojeni melo zacinat SYN
paketem, ale bohuzel se najdou ruzni sycaci, kteri zkouseji scanovat porty
pomoci FIN scanu a podobnych zbesilosti. Da se proti tomu pomoci ipchains
branit? Kdyz udelam pravidlo:

ipchains -A input -p tcp -j DENY -l -y

tak FIN-scan odhali vsechny otevrene porty (pri SYN scanu to nepozna,
protoze vsechny pakety se budou zahazovat, takze akorat zjisti, ze ty
porty filtruju) a tudiz i sluzby, ktere provozuji, treba i jen lokalne.

A kdyz dam 'ipchains -A input -p tcp -j DENY -l' tak nebude fungovat
zadne odchozi spojeni (doufam, ze nekecam - ted to nemuzu vyzkouset).

> <ASIDE>
> Dalo mi ale prace ty ipchains nastudovat a docela se mi to rozhrani libi.
> Skoda, ze s prichodem jadra 2.4 bude "vsechno jinak" :-( 
> </ASIDE>

Me se dost libi IP filter z *BSD, kde se da treba nastavit, ze pri prichodu 
urciteho paketu s urcitymi flagy bude odeslan urcity typ ICMP paketu, coz
se da vyuzit k tomu, ze scanner vubec nepozna, ze ten port je blokovan
nebo REJECTovan, ba dokonce ani nemusi poznat, ze mam nejaky firewall
(treba pri pruchodu 'traceroute' paketu nesnizim jeho TTL a nikdo nepozna,
ze tam jsem a "vsechno si pisu" :-) 
Skoro mam pocit, ze pomoci ruznych typu paketu by se s IPFiltrem daly hrat
piskvorky ;-)))

Michal Ludvig



Další informace o konferenci Linux