ipchains
Peter Surda
shurdeek na panorama.sth.ac.at
Sobota Červen 22 20:28:22 CEST 2002
On Sat, Jun 22, 2002 at 07:20:57PM +0200, Dalibor Toman wrote:
> > Cau,
> >
> > 1) pouzivejte iptables
> iptables maji nekolik podstatnych nevyhod proti ipchains (alespon pro mne).
Takze ideme vyvracat:
> Kdyz jsem se pokousel prepsat accounting skripty z ipchains narazil jsem na
> nasledujici problemy :
>
> - nemoznost zapisu do logu zaroven s provedenim nejake akce (REJECT).
> Obchazet se to musi opakovanym zapisem pravidla s tim, ze se puvodni target
> nahradi targetem LOG.
Hmm.
iptables -N logreject
iptables -A logreject -j LOG
iptables -A logreject -j REJECT
a konkretne v pravidle:
iptables -A INPUT -s idiot.fuck.net -j logreject
> Nevim proc neni mozne logovani pomoci nejakeho switche. Logovani jen pomoci
> LOG/ULOG targetu mi prijde velice nestastne
Pretoze mame cejny a ked sa to spravi cejnami tak je to IMHO omnoho
prehladnejsie.
> - zda se, ze v /proc file systemu neni ulozen obraz pravidel.
S vysokou pravdepodobnostou mas pravdu.
> Pro urychleni nacteni stavu pocitadel cteme stav ipchains counteru pomoci
> souboru v /proc. Pro iptables bude nutne zrejme cist countery pomoci volani
> jadra
No, pozeral som sa do zdrojakov a v baliku iptables mas kniznicu libiptc,
ktorou mozes v ccku robit rozne veci, napr. aj listovat countery. Odhadujem,
ze maly cckovy program pouzivajuci priamo kniznicu je rychlejsi ako skript,
ktory parsuje plaintext, a navyse ked ten plaintext este musi jadro generovat.
> PS: pokud jsem jen spatne hledal, dejte mi nekdo vedet ...
:-)
> > 3) defaut->DENY povazuju za docela dobry napad (kdyz neco zapomenete,
> > tak Vam to nechodi, takze to poznate... kdyz mate default->ACCEPT a
> > zapomenete na neco, tak nekomu muzete udelat radost:-)) )
> no nevim. Myslim, ze takhle je daleko vetsi moznost, ze se dostanes do
> problemu - zvlastne pokud ten stroj administrujes na dalku.
Hej, tiez sa mi stalo, ze som si usekol aktivnu sessnu :-)
Podla mna to zalezi na situacii a prioritach. Ked je presne urcene (napr. od
zakaznika), co ma fungovat, v pohode mozes mat -P DENY (resp. DROP).
> Podle me je urcite lepsi (jiz zminovana varianta) s defaultini policy ACCEPT
> a poslednim pravidlem, ktere vse REJECTne a zaroven zaloguje.
To aby som napchal do rutra zopar 150gigabajtovych diskov :-). Za den prenesie
20GB in a 10GB out, ktovie ake vselijake humusy v tom su.
> Pred tim se ale musi vytvorit REJECTy na jednotlive firewallowane sluzby aby
> to posledni pravidlo odchytalo co nejmin packetu -
> melo by slouzit jako kontrola spravnosti (uplnosti) pravidel pred nim
Ekvivalent k tomu je nastavit default na REJECT a posledne pravidlo by len
logovalo.
> >4) nepadlo tu, ze krom povolit TCP, (port >= 1024) && ( !SYN ) je jeste
> >docela dobry napad povolit lo
> hmm. Ja bych radeji konstruoval pravidla zvlast pro kazdou sitovku
> - cili bud hned udelat user chainy per sitovky nebo v kazdem pravidle
> pripojit -i ethx. Pak se lo interfacu zadne omezeni nedotkne.
Ako som povedal, zavisi od nasadenia. Nastavenie podla sietovky je ozaj casto
efektivnym riesenim problemu.
Ale iptables (aj ipchains) su velmi flexibilne nastroje a fantazii sa medze
nekladu.
> Navic packety od lokalnich procesu nevstupuji do input chainu
... a co ked su targetovane na vlastnu masinu? Raz som mal dlho problemy s
nejakym programom (openmail), nakoniec vysvitlo, ze sa pri istej prilezistosti
snazi konektnut na vonkajsiu ip adresu (ktora patri tej istej masine), a nemal
som to povolene a potom to blblo.
> D. Toman
Bye,
Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023
--
Hello, this is Bill Gates and I pronounce Monopoly, er, Windows as Windows.
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 232 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20020622/6868ccd3/attachment.sig>
Další informace o konferenci Linux