ipchains

Dalibor Toman dtoman na fortech.cz
Sobota Červen 22 19:20:57 CEST 2002


----- Original Message -----
From: "Tomas Hlavacek" <tomas.hlavacek na softmatch.cz>
To: <linux na linux.cz>
Sent: Saturday, June 22, 2002 4:26 PM
Subject: Re: ipchains


> Cau,
>
> 1) pouzivejte iptables

iptables maji nekolik podstatnych nevyhod proti ipchains (alespon pro mne).
Kdyz jsem se pokousel prepsat accounting skripty z ipchains narazil jsem na
nasledujici problemy :

- nemoznost zapisu do logu zaroven s provedenim nejake akce (REJECT).
Obchazet se
to musi opakovanym zapisem pravidla s tim, ze se puvodni target nahradi
targetem LOG.
Nevim proc neni mozne logovani pomoci nejakeho switche. Logovani jen pomoci
LOG/ULOG targetu mi prijde velice nestastne

- zda se, ze v /proc file systemu neni ulozen obraz pravidel. Pro urychleni
nacteni
stavu pocitadel cteme stav ipchains counteru pomoci souboru v /proc. Pro
iptables
bude nutne zrejme cist countery pomoci volani jadra

PS: pokud jsem jen spatne hledal, dejte mi nekdo vedet ...

> 3) defaut->DENY povazuju za docela dobry napad (kdyz neco zapomenete,
> tak Vam to nechodi, takze to poznate... kdyz mate default->ACCEPT a
> zapomenete na neco, tak nekomu muzete udelat radost:-)) )

no nevim. Myslim, ze takhle je daleko vetsi moznost, ze se dostanes do
problemu - zvlastne pokud ten stroj administrujes na dalku.
Podle me je urcite lepsi (jiz zminovana varianta) s defaultini policy ACCEPT
a poslednim
pravidlem, ktere vse REJECTne a zaroven zaloguje. Pred tim se ale musi
vytvorit REJECTy
na jednotlive firewallowane sluzby aby to posledni pravidlo odchytalo co
nejmin packetu -
melo by slouzit jako kontrola spravnosti (uplnosti) pravidel pred nim

>4) nepadlo tu, ze krom povolit TCP, (port >= 1024) && ( !SYN ) je jeste
>docela dobry napad povolit lo

hmm. Ja bych radeji konstruoval pravidla zvlast pro kazdou sitovku - cili
bud hned
udelat user chainy per sitovky nebo v kazdem pravidle pripojit -i ethx. Pak
se lo interfacu
zadne omezeni nedotkne. Navic packety od lokalnich procesu nevstupuji do
input chainu


D. Toman



Další informace o konferenci Linux