ipchains a prichozi konexe

[Peter Ronai]

On Sun, 3 Sep 2000, Michal Ludvig wrote:

> On 3 Sep 2000, Nathan L. Cutler wrote:
> 
> > ipchains presne na tohle ma option "-y", coz v pripade input chain znamena
> > prichozi konexe. Zakazat vsechny prichozi (TCP) konexe krome ftp, ssh a
> > http lze zhruba takto: [...]

existuje aj ciste firewallove riesenie tj nie na baze packetoveho filtra
je samozrejme narocnejsie na hardver a ma iste obmedzenie (ale co ich dnes
nema ;)

> 
> Coz o to, z ciste teoretickeho hlediska by kazde spojeni melo zacinat SYN
> paketem, ale bohuzel se najdou ruzni sycaci, kteri zkouseji scanovat porty
> pomoci FIN scanu a podobnych zbesilosti. Da se proti tomu pomoci ipchains
> branit? Kdyz udelam pravidlo:
> 
> ipchains -A input -p tcp -j DENY -l -y
> 
> tak FIN-scan odhali vsechny otevrene porty (pri SYN scanu to nepozna,
> protoze vsechny pakety se budou zahazovat, takze akorat zjisti, ze ty
> porty filtruju) a tudiz i sluzby, ktere provozuji, treba i jen lokalne.
> 
> A kdyz dam 'ipchains -A input -p tcp -j DENY -l' tak nebude fungovat
> zadne odchozi spojeni (doufam, ze nekecam - ted to nemuzu vyzkouset).
> 
> > <ASIDE>
> > Dalo mi ale prace ty ipchains nastudovat a docela se mi to rozhrani libi.
> > Skoda, ze s prichodem jadra 2.4 bude "vsechno jinak" :-( 
> > </ASIDE>
> 
> Me se dost libi IP filter z *BSD, kde se da treba nastavit, ze pri prichodu 
> urciteho paketu s urcitymi flagy bude odeslan urcity typ ICMP paketu, coz
> se da vyuzit k tomu, ze scanner vubec nepozna, ze ten port je blokovan
> nebo REJECTovan, ba dokonce ani nemusi poznat, ze mam nejaky firewall
> (treba pri pruchodu 'traceroute' paketu nesnizim jeho TTL a nikdo nepozna,
> ze tam jsem a "vsechno si pisu" :-) 
> Skoro mam pocit, ze pomoci ruznych typu paketu by se s IPFiltrem daly hrat
> piskvorky ;-)))
> 
> Michal Ludvig

netfilter dokaze to iste takze 2.4 rulez