Absence virtualniho adresare /proc/net/ipv4

Milan Kerslager milan.kerslager na spsselib.hiedu.cz
Pátek Leden 12 17:27:15 CET 2001


On 12 Jan 2001, Pavel Janík ml. wrote:

>    From: Milan Kerslager <milan.kerslager na spsselib.hiedu.cz>
>    Date: Fri, 12 Jan 2001 16:52:37 +0100 (CET)
>
> > Pokud na nem bude maskarada, pak forwarding potrebujete. Do forwardovacich
> > pravidel se obvykle strkaji prave pravidla pro maskaradu. Na deny (tj.
> > zakazani) se pak nastavuje defaultni politika vsech chainu (input, output
> > i forward). To se dela proto, ze obvykly pristup ke konfiguraci firewallu
> > je: "Vse zakazu a pak udeluji prisne posouzene vyjimky".
>
> Pokud se to udělá takto (tedy default policy je deny a jenom se povoluje),
> není možné logovat pokusy o průniky, protože u standardní politiky nelze
> logovat. Já používám na konci fw pravidel ještě catch-all-rule, které mi
> umožní logovat vetřelce a standardní politiku po nastavení všech
> povolujících pravidel a catch-all-rule změním zpět na accept.

Ja to tak ze stejneho duvodu pouzivam take proto, ze se tak da snadno
zjistit, na jake pravidlo ma hlava dubova zase zapomela. Obvykle ale to
logovani pozdeji odstranim, protoze to je pak snadny DoS (uz jsem si ho
dvakrat vychutnal u spravovaneho serveru), zejmena pokud je to nejaka
mrcha 386 & spol. s 250 MB diskem.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na spsselib.hiedu.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/



Další informace o konferenci Linux