jak bloknout kazu?

Ondrej Sury sury.ondrej na globe.cz
Úterý Říjen 29 15:00:32 CET 2002


Jaroslav Jirásek <jarda na egerius.cz> writes:

> Takze jsem udelal takovato pravidla:
>
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 --syn -j ACCEPT
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 --tcp-flags
> SYN,ACK,PSH,FIN,RST ACK -j ACCEPT
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 --tcp-flags
> SYN,ACK,PSH,FIN,RST RST -j ACCEPT
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 -m
> string --string "GET" -j ACCEPT
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 -m
> string --string "HTTP" -j ACCEPT

Umm...  a co chudak "POST" nebo "HEAD" ?  Jakozto i dalsi (PUT a tak...).
Ono to nejspis chyti to pravidlo s HTTP, takze by to melo chodit i takhle,
ale v tom pripade je zase redundantni to s "GET"...

Mozna by to chtelo jeste nejaky connection tracking, protoze pokud POSTem
poslete vetsi vec a bude fragmentovana do vice paketu, tak vam ty dalsi
neprojdou.  Nebo se pletu?

O.

-- 
Ondrej Sury - CIO                   Globe Internet s.r.o. http://globe.cz/
Tel: +420(2)35365000 Fax: +420(2)35365009     Planickova 1, 162 00 Praha 6


Další informace o konferenci Linux