LPRng a omezeni pristupu Re: Next hack :(
Milan Kerslager
milan.kerslager na spsselib.hiedu.cz
Pátek Leden 19 18:49:34 CET 2001
On Fri, 19 Jan 2001, Petr Simek wrote:
> > ipchains -A input -s ! 160.217.0.0/16 -d 0.0.0.0/0 515 -j REJECT -l
> > ipchains -A input -s ! 160.217.0.0/16 -d 0.0.0.0/0 593 -j REJECT -l
>
> nakonec jsem zjistil ze ono to LPRng asi odmita pracovat kdyz se to do te
> konfigurace LPRng napise ale nezamita spojeni jako kdyz to jde pres
> tcpwrapper - to mne zmatlo. Kazdopadne jsem to pres ten firewal nakonec
> udelal pravidlem :
>
> -A input -s ! 160.217.0.0/255.255.0.0 -d IP.stroje.kde.to.bezi/255.255.255.255 515:515 -p 6 -j DENY
>
> Chtel bych se zeptat na tri veci -
>
> - je lepsi to -d 0.0.0.0/0 nebo to moje
> -d IP.stroje.kde.to.bezi/255.255.255.255 ma to nejaky nedostatek ?
Jen v tom, ze je to obecnejsi, cili zakazuje se pristup na jakoukoliv
IP adresu s tim portem.
> - k cemu je ten zakaz na port 593 ? V services jsme ho nenasel a netstat -ap
> mi rika ze na nem nic nevisi.
Ja jsem to videl v jednom mailu kolem LPRng a myslel jsem si, ze to je
normalni. Taky jsem ted ten port nikde v dokumentaci nenasel.
> - jak mate zarizeno aby se Vam ty pravidla natahly hned po startu ? Ja jsem
> si z RH 7 prekopirobval skript /erc/rc.d/init.d/ipchains (upravil v nem
> odkaz na funkce) a do /etc/sysconfig/ipchains jsem ulozil to pravilo
> prikazem ipchains-save . Nahodil jsem ho chkconfigem.
Presne tak. Ale lepsi je volat z toho skritu svuj skript s natahovanim
pravidel, protoze pak lze pouzit treba DNS jmena a neni to citlive na
precislovani (pri save se ulozi IP adresy). Taky se v tom lepe delaji
upravy (resp. stejne si clovek ten puvodni skript musi nekde nechat).
--
Milan Kerslager
E-mail: milan.kerslager na spsselib.hiedu.cz
WWW: http://www.spsselib.hiedu.cz/~kerslage/
Další informace o konferenci Linux