Filtrovani paketu

[Michal Kubecek]

On Fri, Feb 21, 2003 at 08:58:59PM +0100, Michal Dobes wrote:

> Tim, ze tam mate stavovy firewall, tak ten radek:
> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> rika, ze pres eth0 prijmete jen to, co patri/ma nejaky vztah 
> k existujicimu spojeni. Ve vasem pripade tento stav s vyjimkou WWW
> pristupu na WWW server nastane az jako nasledek nejakeho odchoziho
> spojeni od vas. Takze pokud si sam nevyslete takovou podivnou vec,
> tak by nemela ani dojit k vam zpet (odeslani neceho takoveho
> navic tam mate osetreno).

Ten řádek říká pouze, že takové pakety přijme. Rozhodně neříká, že nepřijme
žádné jiné. Takže paket projde a pokud ho akceptuje nějaké jiné pravidlo
(předtím nebo potom), je přijat. Zbytečnost to rozhodně není - zabrání to
útočníkovi dostat se na vnitřní rozhraní (kde může například WWW server
poskytovat bohatší data než na vnějším rozhraní). Navíc ve spojení
s hrubou chybou v nastavení TCP by to znamenalo přístup k jakékoli službě
na lokální smyčce (i když jen pro útočníka na stejném segmentu).

                                                          Michal Kubeček