iptables & broadcast packet

Petr Čech cech na atrey.karlin.mff.cuni.cz
Pondělí Březen 12 19:16:37 CET 2001 

Tomas Rollbach napsal:
> On 11 Mar 2001, Pavel Kankovsky wrote:
> 
> > On Thu, 8 Mar 2001, Tomas Rollbach wrote:
> >
> > > lze v iptables nejak udelat pravidlo "plati pro broadcast TCP packet"?
> >
> > TCP a broacast je vlastne nesmyslna kombinace a kazdy koncovy uzel by mel
> 
> OK, spatne jsem se vyjadril. Mel jsem na mysli IP. Ale Broadcast UDP nebo

to je vlastne to same. Nahore melo byt uvedeno IP - TCP/UDP pridava akorat
port

> Broadcast IP uz by slo, ne?

viz. mail Pavla Kankovskeho

> Muj problem je, ze mam nejak nastavena pravidla logovani v iptables, ale
> cas od casu se zblazni nektery stroj (nebo na nej nekdo neco nainstaluje,
> nebo janevim proc) a zacne generovat UDP pakety s nejakym vtipnym cislem
> ciloveho portu (11111, 2301, 58085, ...) a s ruznou velikosti netmasky.
> 
> Jenze ja takovyhle zaznamy v logu nepotrebuju. Chtel bych, aby se mi
> logovaly jen UDP pakety, ktere jsou unicastove a pro nekterou z mych
> adres. Vim, ze by to slo udelat jako "loguj pokud je paket pro a.b.c.1,

tak si to tak nastavte.

> a.b.c.2, nebo a.b.c.3, jinak bez reci zahod", ale to bych musel menit
> pravidla pri kazdem pridani/odebrani adresy, coz se mi nechce. Takze z

tak to zautomatizujte. viz. ipmasq

> ciste studijnich duvodu bych chtel nejak poznat broadcast paket.

v iptables mozna prez -m mac nejak ... treba ... tezko

> Taky chci odpovidat na pakety nejakym icmp-<neco>, jenze odpovidat na
> broadcasty nejspis neni dobry napad...

ne

> > Cili jde o to, zda pozname datagramy, na kterych je napsano, ze jsou TCP,
> > ale nejsou unicastove. To pozname VYHRADNE podle cilove adresy, zadny IP
> > flag na broadcast neni, a to bud IP adresy, nebo adresy na linkove vrstve,
> > napr. Ethernetu. V prvnim pripade se ovsem bez znalosti netmasky obecne
> > neobejdeme, protoze v ruzne konfigurovanych subnetech jsou broadcastove
> > adresy ruzne. V druhem pripade je mozno, aspon u toho Ethernetu, lze
> > vsechny unicastove adresy poznat tak, ze maji jisty bit nulovy.
> 
> Lze tohle zkoumani ethernetove hlavicky nastavit v iptables? Vim, ze ipt

RTFM :)

> loguje i MAC adresy, takze iptables k tomu (asi) pristup mit musi.

-m mac

				Petr Cech
-- 
Debian GNU/Linux maintainer - www.debian.{org,cz}
           cech na atrey.karlin.mff.cuni.cz

<Myth> the UNIX trademark has changed hands so much no one is quite sure who really owns it anymore

Další informace o konferenci Linux