ipchains a prichozi konexe
Peter Ronai
linux na highlander.my-scotland.sk
Pondělí Září 4 10:52:20 CEST 2000
On Sun, 3 Sep 2000, Michal Ludvig wrote:
> On 3 Sep 2000, Nathan L. Cutler wrote:
>
> > ipchains presne na tohle ma option "-y", coz v pripade input chain znamena
> > prichozi konexe. Zakazat vsechny prichozi (TCP) konexe krome ftp, ssh a
> > http lze zhruba takto: [...]
existuje aj ciste firewallove riesenie tj nie na baze packetoveho filtra
je samozrejme narocnejsie na hardver a ma iste obmedzenie (ale co ich dnes
nema ;)
>
> Coz o to, z ciste teoretickeho hlediska by kazde spojeni melo zacinat SYN
> paketem, ale bohuzel se najdou ruzni sycaci, kteri zkouseji scanovat porty
> pomoci FIN scanu a podobnych zbesilosti. Da se proti tomu pomoci ipchains
> branit? Kdyz udelam pravidlo:
>
> ipchains -A input -p tcp -j DENY -l -y
>
> tak FIN-scan odhali vsechny otevrene porty (pri SYN scanu to nepozna,
> protoze vsechny pakety se budou zahazovat, takze akorat zjisti, ze ty
> porty filtruju) a tudiz i sluzby, ktere provozuji, treba i jen lokalne.
>
> A kdyz dam 'ipchains -A input -p tcp -j DENY -l' tak nebude fungovat
> zadne odchozi spojeni (doufam, ze nekecam - ted to nemuzu vyzkouset).
>
> > <ASIDE>
> > Dalo mi ale prace ty ipchains nastudovat a docela se mi to rozhrani libi.
> > Skoda, ze s prichodem jadra 2.4 bude "vsechno jinak" :-(
> > </ASIDE>
>
> Me se dost libi IP filter z *BSD, kde se da treba nastavit, ze pri prichodu
> urciteho paketu s urcitymi flagy bude odeslan urcity typ ICMP paketu, coz
> se da vyuzit k tomu, ze scanner vubec nepozna, ze ten port je blokovan
> nebo REJECTovan, ba dokonce ani nemusi poznat, ze mam nejaky firewall
> (treba pri pruchodu 'traceroute' paketu nesnizim jeho TTL a nikdo nepozna,
> ze tam jsem a "vsechno si pisu" :-)
> Skoro mam pocit, ze pomoci ruznych typu paketu by se s IPFiltrem daly hrat
> piskvorky ;-)))
>
> Michal Ludvig
netfilter dokaze to iste takze 2.4 rulez
Další informace o konferenci Linux