ipchains
Dalibor Toman
dtoman na fortech.cz
Sobota Červen 22 19:20:57 CEST 2002
----- Original Message -----
From: "Tomas Hlavacek" <tomas.hlavacek na softmatch.cz>
To: <linux na linux.cz>
Sent: Saturday, June 22, 2002 4:26 PM
Subject: Re: ipchains
> Cau,
>
> 1) pouzivejte iptables
iptables maji nekolik podstatnych nevyhod proti ipchains (alespon pro mne).
Kdyz jsem se pokousel prepsat accounting skripty z ipchains narazil jsem na
nasledujici problemy :
- nemoznost zapisu do logu zaroven s provedenim nejake akce (REJECT).
Obchazet se
to musi opakovanym zapisem pravidla s tim, ze se puvodni target nahradi
targetem LOG.
Nevim proc neni mozne logovani pomoci nejakeho switche. Logovani jen pomoci
LOG/ULOG targetu mi prijde velice nestastne
- zda se, ze v /proc file systemu neni ulozen obraz pravidel. Pro urychleni
nacteni
stavu pocitadel cteme stav ipchains counteru pomoci souboru v /proc. Pro
iptables
bude nutne zrejme cist countery pomoci volani jadra
PS: pokud jsem jen spatne hledal, dejte mi nekdo vedet ...
> 3) defaut->DENY povazuju za docela dobry napad (kdyz neco zapomenete,
> tak Vam to nechodi, takze to poznate... kdyz mate default->ACCEPT a
> zapomenete na neco, tak nekomu muzete udelat radost:-)) )
no nevim. Myslim, ze takhle je daleko vetsi moznost, ze se dostanes do
problemu - zvlastne pokud ten stroj administrujes na dalku.
Podle me je urcite lepsi (jiz zminovana varianta) s defaultini policy ACCEPT
a poslednim
pravidlem, ktere vse REJECTne a zaroven zaloguje. Pred tim se ale musi
vytvorit REJECTy
na jednotlive firewallowane sluzby aby to posledni pravidlo odchytalo co
nejmin packetu -
melo by slouzit jako kontrola spravnosti (uplnosti) pravidel pred nim
>4) nepadlo tu, ze krom povolit TCP, (port >= 1024) && ( !SYN ) je jeste
>docela dobry napad povolit lo
hmm. Ja bych radeji konstruoval pravidla zvlast pro kazdou sitovku - cili
bud hned
udelat user chainy per sitovky nebo v kazdem pravidle pripojit -i ethx. Pak
se lo interfacu
zadne omezeni nedotkne. Navic packety od lokalnich procesu nevstupuji do
input chainu
D. Toman
Další informace o konferenci Linux