iptables & broadcast packet
Tomas Rollbach
troll na logix.cz
Pondělí Březen 12 18:14:58 CET 2001
On 11 Mar 2001, Pavel Kankovsky wrote:
> On Thu, 8 Mar 2001, Tomas Rollbach wrote:
>
> > lze v iptables nejak udelat pravidlo "plati pro broadcast TCP packet"?
>
> TCP a broacast je vlastne nesmyslna kombinace a kazdy koncovy uzel by mel
OK, spatne jsem se vyjadril. Mel jsem na mysli IP. Ale Broadcast UDP nebo
Broadcast IP uz by slo, ne?
Muj problem je, ze mam nejak nastavena pravidla logovani v iptables, ale
cas od casu se zblazni nektery stroj (nebo na nej nekdo neco nainstaluje,
nebo janevim proc) a zacne generovat UDP pakety s nejakym vtipnym cislem
ciloveho portu (11111, 2301, 58085, ...) a s ruznou velikosti netmasky.
Jenze ja takovyhle zaznamy v logu nepotrebuju. Chtel bych, aby se mi
logovaly jen UDP pakety, ktere jsou unicastove a pro nekterou z mych
adres. Vim, ze by to slo udelat jako "loguj pokud je paket pro a.b.c.1,
a.b.c.2, nebo a.b.c.3, jinak bez reci zahod", ale to bych musel menit
pravidla pri kazdem pridani/odebrani adresy, coz se mi nechce. Takze z
ciste studijnich duvodu bych chtel nejak poznat broadcast paket.
Taky chci odpovidat na pakety nejakym icmp-<neco>, jenze odpovidat na
broadcasty nejspis neni dobry napad...
> Cili jde o to, zda pozname datagramy, na kterych je napsano, ze jsou TCP,
> ale nejsou unicastove. To pozname VYHRADNE podle cilove adresy, zadny IP
> flag na broadcast neni, a to bud IP adresy, nebo adresy na linkove vrstve,
> napr. Ethernetu. V prvnim pripade se ovsem bez znalosti netmasky obecne
> neobejdeme, protoze v ruzne konfigurovanych subnetech jsou broadcastove
> adresy ruzne. V druhem pripade je mozno, aspon u toho Ethernetu, lze
> vsechny unicastove adresy poznat tak, ze maji jisty bit nulovy.
Lze tohle zkoumani ethernetove hlavicky nastavit v iptables? Vim, ze ipt
loguje i MAC adresy, takze iptables k tomu (asi) pristup mit musi.
> <rant> Tohle IMHO demonstruje, ze prinejmensi nektere veci, jako nastaveni
> sitovych filtru, lze jen tezko delat poradne, kdyz nerozumim tomu, jak
> to funguje (bez urazky). </rant>
No jo, ale abych to umel, tak se to nekde musim naucit. Zatim si
experimentuju na svoji workstejsne na intranetu, takze rizika jsou celkem
minimalni ;-)
-- troll
Další informace o konferenci Linux