nefungujici firewall (HELP uz si nevim rady:-))
Jan Kasprzak
kas na informatics.muni.cz
Čtvrtek Srpen 2 13:31:03 CEST 2001
Miroslav Pragl wrote:
: > > iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT
:
: > Jinak: takhle mate povolenou dostupnost NA cilove porty, ale uz
: > ne Z cilovych portu. Pocitac tedy muzete na tech vyjmenovanych
: > portech kontaktovat, ale zahodite jeho odpoved... Je treba bud
:
: cetl jsem to teda v rychliku, ale:
:
: hlavne Vam tam chybi parametr -y
:
Myslite --syn? Bez toho je pravidlo nadmnozinou tehoz.
Tady problem neni.
Jeste kosmeticka pripominka: To -s 0.0.0.0/0 je tam navic.
I bez toho pravidlo funguje stejne.
: na portu napr. 80 pro www preci probiha jen ZADOST o pripojeni, ale socket
: se AKCEPTUJE NA JINEM (VOLNEM) PORTU! Jinak by www server obslouzil prece
: jen jedinou soucasnou konexi :-)
Ale houby. Prectete si nekdy neco o fungovani TCP
nebo si prohlednete tcpdumpem nejaky HTTP pozadavek.
TCP spojeni je reprezentovano ctverici (zdrojova IP adresa,
__ZDROJOVY_PORT__, cilova IP adresa, cilovy port cili zde 80).
Takze pokud se lisi aspon zdrojovy port, lze mit z jedne IP adresy
na jinou IP adresu a port 80 libovolny pocet spojeni (<2^16, ovsem).
-Yenya
--
\ Jan "Yenya" Kasprzak <kas at fi.muni.cz> http://www.fi.muni.cz/~kas/
\\ PGP: finger kas at aisa.fi.muni.cz 0D99A7FB206605D7 8B35FCDE05B18A5E //
\\\ Czech Linux Homepage: http://www.linux.cz/ ///
/// Do not meddle in the affairs of sysadmins, for they are quick to \\\
// anger and have not need for subtlety. (stolen from some /.er) \\
Další informace o konferenci Linux