LPRng a omezeni pristupu Re: Next hack :(

[Milan Kerslager]

On Fri, 19 Jan 2001, Petr Simek wrote:

> > ipchains -A input -s ! 160.217.0.0/16 -d 0.0.0.0/0 515 -j REJECT -l
> > ipchains -A input -s ! 160.217.0.0/16 -d 0.0.0.0/0 593 -j REJECT -l
>
> nakonec jsem zjistil ze ono to LPRng asi odmita pracovat kdyz se to do te
> konfigurace LPRng napise ale nezamita spojeni jako kdyz to jde pres
> tcpwrapper - to mne zmatlo. Kazdopadne jsem to pres ten firewal nakonec
> udelal pravidlem :
>
> -A input -s ! 160.217.0.0/255.255.0.0 -d IP.stroje.kde.to.bezi/255.255.255.255 515:515 -p 6 -j DENY
>
> Chtel bych se zeptat na tri veci -
>
> - je lepsi to -d 0.0.0.0/0 nebo to moje
>   -d IP.stroje.kde.to.bezi/255.255.255.255 ma to nejaky nedostatek ?

Jen v tom, ze je to obecnejsi, cili zakazuje se pristup na jakoukoliv
IP adresu s tim portem.

> - k cemu je ten zakaz na port 593 ? V services jsme ho nenasel a netstat -ap
>   mi rika ze na nem nic nevisi.

Ja jsem to videl v jednom mailu kolem LPRng a myslel jsem si, ze to je
normalni. Taky jsem ted ten port nikde v dokumentaci nenasel.

> - jak mate zarizeno aby se Vam ty pravidla natahly hned po startu ? Ja jsem
>   si z RH 7 prekopirobval skript /erc/rc.d/init.d/ipchains (upravil v nem
>   odkaz na funkce) a do /etc/sysconfig/ipchains jsem ulozil to pravilo
>   prikazem ipchains-save . Nahodil jsem ho chkconfigem.

Presne tak. Ale lepsi je volat z toho skritu svuj skript s natahovanim
pravidel, protoze pak lze pouzit treba DNS jmena a neni to citlive na
precislovani (pri save se ulozi IP adresy). Taky se v tom lepe delaji
upravy (resp. stejne si clovek ten puvodni skript musi nekde nechat).

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na spsselib.hiedu.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/