ipchains

[Dalibor Toman]

>> - nemoznost zapisu do logu zaroven s provedenim nejake akce (REJECT).
>> Obchazet se to musi opakovanym zapisem pravidla s tim, ze se puvodni
target
>> nahradi targetem LOG.
>
>iptables -N logreject
>iptables -A logreject -j LOG
>iptables -A logreject -j REJECT
>
>a konkretne v pravidle:
>iptables -A INPUT -s idiot.fuck.net -j logreject

OK. Tohle mi staci - diky.

>> Pro urychleni nacteni stavu pocitadel cteme stav ipchains counteru pomoci
>> souboru v /proc.  Pro iptables bude nutne zrejme cist countery pomoci
volani
>> jadra
>No, pozeral som sa do zdrojakov a v baliku iptables mas kniznicu libiptc,
>ktorou mozes v ccku robit rozne veci, napr. aj listovat countery.
Odhadujem,
>ze maly cckovy program pouzivajuci priamo kniznicu je rychlejsi ako skript,
>ktory parsuje plaintext, a navyse ked ten plaintext este musi jadro
generovat.

ten /proc file se stavem ipchains samozrejme cteme binarkou, ktera jej
preparsuje do binarni podoby a tu ulozi. Po nekolik desitek sekund jsou
tedy countery cteny z toho snapshot filu jako z kese.

>> Podle me je urcite lepsi (jiz zminovana varianta) s defaultini policy
ACCEPT
>> a poslednim pravidlem, ktere vse REJECTne a zaroven zaloguje.
>To aby som napchal do rutra zopar 150gigabajtovych diskov :-). Za den
prenesie
>20GB in a 10GB out, ktovie ake vselijake humusy v tom su.

:-)

>> Pred tim se ale musi vytvorit REJECTy na jednotlive firewallowane sluzby
aby
>> to posledni pravidlo odchytalo co nejmin packetu -
>> melo by slouzit jako kontrola spravnosti (uplnosti) pravidel pred nim
>Ekvivalent k tomu je nastavit default na REJECT a posledne pravidlo by len
>logovalo.

to ano


D. Toman