iptables & broadcast packet
Petr Čech
cech na atrey.karlin.mff.cuni.cz
Pondělí Březen 12 19:16:37 CET 2001
Tomas Rollbach napsal:
> On 11 Mar 2001, Pavel Kankovsky wrote:
>
> > On Thu, 8 Mar 2001, Tomas Rollbach wrote:
> >
> > > lze v iptables nejak udelat pravidlo "plati pro broadcast TCP packet"?
> >
> > TCP a broacast je vlastne nesmyslna kombinace a kazdy koncovy uzel by mel
>
> OK, spatne jsem se vyjadril. Mel jsem na mysli IP. Ale Broadcast UDP nebo
to je vlastne to same. Nahore melo byt uvedeno IP - TCP/UDP pridava akorat
port
> Broadcast IP uz by slo, ne?
viz. mail Pavla Kankovskeho
> Muj problem je, ze mam nejak nastavena pravidla logovani v iptables, ale
> cas od casu se zblazni nektery stroj (nebo na nej nekdo neco nainstaluje,
> nebo janevim proc) a zacne generovat UDP pakety s nejakym vtipnym cislem
> ciloveho portu (11111, 2301, 58085, ...) a s ruznou velikosti netmasky.
>
> Jenze ja takovyhle zaznamy v logu nepotrebuju. Chtel bych, aby se mi
> logovaly jen UDP pakety, ktere jsou unicastove a pro nekterou z mych
> adres. Vim, ze by to slo udelat jako "loguj pokud je paket pro a.b.c.1,
tak si to tak nastavte.
> a.b.c.2, nebo a.b.c.3, jinak bez reci zahod", ale to bych musel menit
> pravidla pri kazdem pridani/odebrani adresy, coz se mi nechce. Takze z
tak to zautomatizujte. viz. ipmasq
> ciste studijnich duvodu bych chtel nejak poznat broadcast paket.
v iptables mozna prez -m mac nejak ... treba ... tezko
> Taky chci odpovidat na pakety nejakym icmp-<neco>, jenze odpovidat na
> broadcasty nejspis neni dobry napad...
ne
> > Cili jde o to, zda pozname datagramy, na kterych je napsano, ze jsou TCP,
> > ale nejsou unicastove. To pozname VYHRADNE podle cilove adresy, zadny IP
> > flag na broadcast neni, a to bud IP adresy, nebo adresy na linkove vrstve,
> > napr. Ethernetu. V prvnim pripade se ovsem bez znalosti netmasky obecne
> > neobejdeme, protoze v ruzne konfigurovanych subnetech jsou broadcastove
> > adresy ruzne. V druhem pripade je mozno, aspon u toho Ethernetu, lze
> > vsechny unicastove adresy poznat tak, ze maji jisty bit nulovy.
>
> Lze tohle zkoumani ethernetove hlavicky nastavit v iptables? Vim, ze ipt
RTFM :)
> loguje i MAC adresy, takze iptables k tomu (asi) pristup mit musi.
-m mac
Petr Cech
--
Debian GNU/Linux maintainer - www.debian.{org,cz}
cech na atrey.karlin.mff.cuni.cz
<Myth> the UNIX trademark has changed hands so much no one is quite sure who really owns it anymore
Další informace o konferenci Linux