ipchains

Peter Surda shurdeek na panorama.sth.ac.at
Sobota Červen 22 20:28:22 CEST 2002 

On Sat, Jun 22, 2002 at 07:20:57PM +0200, Dalibor Toman wrote:
> > Cau,
> >
> > 1) pouzivejte iptables
> iptables maji nekolik podstatnych nevyhod proti ipchains (alespon pro mne).
Takze ideme vyvracat:

> Kdyz jsem se pokousel prepsat accounting skripty z ipchains narazil jsem na
> nasledujici problemy :
> 
> - nemoznost zapisu do logu zaroven s provedenim nejake akce (REJECT).
> Obchazet se to musi opakovanym zapisem pravidla s tim, ze se puvodni target
> nahradi targetem LOG.
Hmm.
iptables -N logreject
iptables -A logreject -j LOG
iptables -A logreject -j REJECT

a konkretne v pravidle:
iptables -A INPUT -s idiot.fuck.net -j logreject

> Nevim proc neni mozne logovani pomoci nejakeho switche. Logovani jen pomoci
> LOG/ULOG targetu mi prijde velice nestastne
Pretoze mame cejny a ked sa to spravi cejnami tak je to IMHO omnoho
prehladnejsie.

> - zda se, ze v /proc file systemu neni ulozen obraz pravidel.
S vysokou pravdepodobnostou mas pravdu.

> Pro urychleni nacteni stavu pocitadel cteme stav ipchains counteru pomoci
> souboru v /proc.  Pro iptables bude nutne zrejme cist countery pomoci volani
> jadra
No, pozeral som sa do zdrojakov a v baliku iptables mas kniznicu libiptc,
ktorou mozes v ccku robit rozne veci, napr. aj listovat countery. Odhadujem,
ze maly cckovy program pouzivajuci priamo kniznicu je rychlejsi ako skript,
ktory parsuje plaintext, a navyse ked ten plaintext este musi jadro generovat.

> PS: pokud jsem jen spatne hledal, dejte mi nekdo vedet ...
:-)

> > 3) defaut->DENY povazuju za docela dobry napad (kdyz neco zapomenete,
> > tak Vam to nechodi, takze to poznate... kdyz mate default->ACCEPT a
> > zapomenete na neco, tak nekomu muzete udelat radost:-)) )
> no nevim. Myslim, ze takhle je daleko vetsi moznost, ze se dostanes do
> problemu - zvlastne pokud ten stroj administrujes na dalku.
Hej, tiez sa mi stalo, ze som si usekol aktivnu sessnu :-)

Podla mna to zalezi na situacii a prioritach. Ked je presne urcene (napr. od
zakaznika), co ma fungovat, v pohode mozes mat -P DENY (resp. DROP).

> Podle me je urcite lepsi (jiz zminovana varianta) s defaultini policy ACCEPT
> a poslednim pravidlem, ktere vse REJECTne a zaroven zaloguje.
To aby som napchal do rutra zopar 150gigabajtovych diskov :-). Za den prenesie
20GB in a 10GB out, ktovie ake vselijake humusy v tom su.

> Pred tim se ale musi vytvorit REJECTy na jednotlive firewallowane sluzby aby
> to posledni pravidlo odchytalo co nejmin packetu -
> melo by slouzit jako kontrola spravnosti (uplnosti) pravidel pred nim
Ekvivalent k tomu je nastavit default na REJECT a posledne pravidlo by len
logovalo.

> >4) nepadlo tu, ze krom povolit TCP, (port >= 1024) && ( !SYN ) je jeste
> >docela dobry napad povolit lo
> hmm. Ja bych radeji konstruoval pravidla zvlast pro kazdou sitovku
> - cili bud hned udelat user chainy per sitovky nebo v kazdem pravidle
> pripojit -i ethx. Pak se lo interfacu zadne omezeni nedotkne.
Ako som povedal, zavisi od nasadenia. Nastavenie podla sietovky je ozaj casto
efektivnym riesenim problemu.

Ale iptables (aj ipchains) su velmi flexibilne nastroje a fantazii sa medze
nekladu.

> Navic packety od lokalnich procesu nevstupuji do input chainu
... a co ked su targetovane na vlastnu masinu? Raz som mal dlho problemy s
nejakym programom (openmail), nakoniec vysvitlo, ze sa pri istej prilezistosti
snazi konektnut na vonkajsiu ip adresu (ktora patri tej istej masine), a nemal
som to povolene a potom to blblo.

> D. Toman
Bye,

Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023

--
  Hello, this is Bill Gates and I pronounce Monopoly, er, Windows as Windows.
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 232 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20020622/6868ccd3/attachment.sig>

Další informace o konferenci Linux