ipchains

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Neděle Červen 23 21:34:20 CEST 2002 

On Sat, 22 Jun 2002, Tomas Hlavacek wrote:

> 2) proc reject? nemam sice konkretni duvod, proc neposilat do sveta ICMP 
> packety, ale treba jen ta hloupost, ze kdyz Vam nekdo posila SYN packety 
> na vsechy porty, a Vy na to odpovtite taky 65535 packety, tak si 
> zbytecne zatezujete linku (nota bene, ja mam doma treba nesymetricke 
> pripojeni).

Nekdy si to vyzkousejte. Linux se (podobne jako vetsina unixu a narozdil
od nejmenovaneho neunixoveho OS) ridi doporucenim jisteho RFC, ktere radi
limitovat mnozstvi ICMP zprav generovanych v podobnych situacich.


On Sat, 22 Jun 2002, Dalibor Toman wrote:

> - zda se, ze v /proc file systemu neni ulozen obraz pravidel. Pro
> urychleni nacteni stavu pocitadel cteme stav ipchains counteru pomoci
> souboru v /proc. Pro iptables bude nutne zrejme cist countery pomoci
> volani jadra

read() je prekvapive take volani jadra... :)

> > 3) defaut->DENY povazuju za docela dobry napad (kdyz neco zapomenete,
> > tak Vam to nechodi, takze to poznate... kdyz mate default->ACCEPT a
> > zapomenete na neco, tak nekomu muzete udelat radost:-)) )
> 
> no nevim. Myslim, ze takhle je daleko vetsi moznost, ze se dostanes do
> problemu - zvlastne pokud ten stroj administrujes na dalku. Podle me
> je urcite lepsi (jiz zminovana varianta) s defaultini policy ACCEPT a
> poslednim pravidlem, ktere vse REJECTne a zaroven zaloguje. Pred tim
> se ale musi vytvorit REJECTy na jednotlive firewallowane sluzby aby to
> posledni pravidlo odchytalo co nejmin packetu - melo by slouzit jako
> kontrola spravnosti (uplnosti) pravidel pred nim

Rekl bych, ze je-li vzdy na konci pravidlo, co vsechno zakazuje, tak si
clovek pod sebou urizne vetev stejne dobre, jako kdyz je zakazovaci
default policy. Tedy lepe receno na default policy uz moc nezalezi, kdyz
posledni pravidlo vzdy chyta vsechno.

Ale s tim logovanim je to spravna pripominka. Vsechny zakazane pakety je
lepsi logovat, jinak se clovek zblazni z toho, kdyz bude zjistovat, proc
neco nefunguje. Ovsem je take dobre na to logovani nasadit nejaky rate
limiting (ipchains majit jeden velky rate limit pres vsechny hlasky
generovane sitovym subsystemem, iptables maji tusim neco, cim lze
limitovat kazde hlaseni zvlast), aby nejaky magor nezpusobil rust
velikosti logu nade vsechny meze.


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux