Filtrovani paketu

Michal Dobes dobes na tesnet.cz
Pátek Únor 21 20:02:30 CET 2003


Petr Šobáň wrote:
> /sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j LOG --log-level 6
> /sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j REJECT

Trosku zbytecne, pokud je dal pouzito stavove pravidlo 
ESTABLISHED,RELATED tak to pres nej neprojde, pokud nebudete vysilat
pakety se zdroj adresou v 127/8 (coz asi nebudete, protoze to filtrujete
v outputu)?

> /sbin/iptables -A OUTPUT -s $MOJE_IP -j ACCEPT
> 
> /sbin/iptables -A OUTPUT -p icmp -j ACCEPT

Neni ten ICMP radek trosku zbytecny? Uz ten predchozi radek to
zahrnuje. Navic tim rikate, ze odchozi ICMP pakety muzou mit 
jakoukoliv IP, to uz je rozumnejsi ponechat ten predchozi radek
omezujici jen na Vasi IP.

> # max5 pingu za s
> /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
> --limit-burst 5 -j ACCEPT
> 
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT

Nebude se ten limit pro ping anulovat (echo-request=8)?
A limit nebude asi 5/s ale jen 1/s?

> # DNS
> /sbin/iptables -A INPUT -p udp -s $DNS_SERVER --sport 53 -j ACCEPT

Ten Vas stroj ma byt DNS server dostupny z toho $DNS_SERVER nebo je
to jen klient ptajici se do sveta?
V prvem pripade by bylo vhodnjsi misto --sport 53 pouzit --dport 53,
protoze mate povoleny k vam vse prichozi z portu 53 na cokoliv.
V pripade, ze jste jen klient, tak funkcnost DNS dotazu by mela byt
opet pokryta tim ESTABLISHED,RELATED vyse.

> # WWW
> /sbin/iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT

tenhle radek je asi nesmysl? Opet povolujete k sobe spojeni
kamkoliv, pokud zdrojovy port je 80.

> /sbin/iptables -A INPUT -p tcp -d 0/0 --dport 80 -j ACCEPT

OK, zpristupni WWW server bezici u Vas okoli. Kdyz se uz vyskytlo
vyse pouziti stavoveho firewallu, tak by byl elegantnejsi i zde:
/sbin/iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

> # odmitne port 113 auth
> /sbin/iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT

asi take zbytecnost, neprojde opet na ESTABLISHED,RELATED.

> # LOGUJ OSTATNI
> /sbin/iptables -A OUTPUT -j LOG --log-level 6
> /sbin/iptables -A INPUT -j LOG --log-level 6
> /sbin/iptables -A FORWARD -j LOG --log-level 6

Mozna by se sluselo pouzit u toho logovani limitovani, at se
logovaci system nezblazni. :-)

Ale to jsou jen vystrely od boku nez se mi preindexuje neco
v Oracle. :-)

	Majkl


Další informace o konferenci Linux