firewall - povoleni https
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Středa Leden 22 23:51:30 CET 2003
On Wed, 22 Jan 2003, Peter Surda wrote:
> > iptables -A FORWARD -i eth0 -p tcp --sport 443 -j ACCEPT
> > iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
> Inac toto je vinikajuci priklad, ako sa da firewall pouzit uplne zle.
> Hocikto moze firewall obist, ked pouzije source port 443, na co ti
> staci mat ruta na pocitaci s verejnou ip adresou.
Autor si asi popletl interfejsy (nebo se mozna nechal zmast tim, ze
v iptables je -i prichozi interfejs, zatimco u ipchains to afaik byl ve
forwardovacim chainu interfejs odchozi):
> eth0 - internet
> eth1 - vnitrni sit
Cili misto toho, aby pro Internet zpristupnil port 443 ve vnitrni siti
(a provoz smerem do Internetu omezil jen velmi formalne), tak naopak
zpristupnil port 443 na Internetu pro vnitrni sit (a formalne omezil
provoz z Internetu).
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux