ipchains a prichozi konexe
Michal Ludvig
mic na logix.cz
Neděle Září 3 22:38:05 CEST 2000
On 3 Sep 2000, Nathan L. Cutler wrote:
> ipchains presne na tohle ma option "-y", coz v pripade input chain znamena
> prichozi konexe. Zakazat vsechny prichozi (TCP) konexe krome ftp, ssh a
> http lze zhruba takto: [...]
Coz o to, z ciste teoretickeho hlediska by kazde spojeni melo zacinat SYN
paketem, ale bohuzel se najdou ruzni sycaci, kteri zkouseji scanovat porty
pomoci FIN scanu a podobnych zbesilosti. Da se proti tomu pomoci ipchains
branit? Kdyz udelam pravidlo:
ipchains -A input -p tcp -j DENY -l -y
tak FIN-scan odhali vsechny otevrene porty (pri SYN scanu to nepozna,
protoze vsechny pakety se budou zahazovat, takze akorat zjisti, ze ty
porty filtruju) a tudiz i sluzby, ktere provozuji, treba i jen lokalne.
A kdyz dam 'ipchains -A input -p tcp -j DENY -l' tak nebude fungovat
zadne odchozi spojeni (doufam, ze nekecam - ted to nemuzu vyzkouset).
> <ASIDE>
> Dalo mi ale prace ty ipchains nastudovat a docela se mi to rozhrani libi.
> Skoda, ze s prichodem jadra 2.4 bude "vsechno jinak" :-(
> </ASIDE>
Me se dost libi IP filter z *BSD, kde se da treba nastavit, ze pri prichodu
urciteho paketu s urcitymi flagy bude odeslan urcity typ ICMP paketu, coz
se da vyuzit k tomu, ze scanner vubec nepozna, ze ten port je blokovan
nebo REJECTovan, ba dokonce ani nemusi poznat, ze mam nejaky firewall
(treba pri pruchodu 'traceroute' paketu nesnizim jeho TTL a nikdo nepozna,
ze tam jsem a "vsechno si pisu" :-)
Skoro mam pocit, ze pomoci ruznych typu paketu by se s IPFiltrem daly hrat
piskvorky ;-)))
Michal Ludvig
Další informace o konferenci Linux