jak bloknout kazu?
Ondrej Sury
sury.ondrej na globe.cz
Úterý Říjen 29 15:00:32 CET 2002
Jaroslav Jirásek <jarda na egerius.cz> writes:
> Takze jsem udelal takovato pravidla:
>
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 --syn -j ACCEPT
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 --tcp-flags
> SYN,ACK,PSH,FIN,RST ACK -j ACCEPT
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 --tcp-flags
> SYN,ACK,PSH,FIN,RST RST -j ACCEPT
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 -m
> string --string "GET" -j ACCEPT
> iptables -A FORWARD -s x.x.x.0/24 -d 0/0 -p tcp --dport 80 -m
> string --string "HTTP" -j ACCEPT
Umm... a co chudak "POST" nebo "HEAD" ? Jakozto i dalsi (PUT a tak...).
Ono to nejspis chyti to pravidlo s HTTP, takze by to melo chodit i takhle,
ale v tom pripade je zase redundantni to s "GET"...
Mozna by to chtelo jeste nejaky connection tracking, protoze pokud POSTem
poslete vetsi vec a bude fragmentovana do vice paketu, tak vam ty dalsi
neprojdou. Nebo se pletu?
O.
--
Ondrej Sury - CIO Globe Internet s.r.o. http://globe.cz/
Tel: +420(2)35365000 Fax: +420(2)35365009 Planickova 1, 162 00 Praha 6
Další informace o konferenci Linux