Utok na mailserver?
Peter Surda
shurdeek na panorama.sth.ac.at
Sobota Březen 15 15:48:55 CET 2003
On Sat, Mar 15, 2003 at 03:42:34PM +0100, Stanislav PETR wrote:
> Dobry den,
cau
> PS> On Sat, Mar 15, 2003 at 02:43:47PM +0100, Michal Kubecek wrote:
> >> iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP
> PS> Mala poznamka: pokial je na interfejsi zapnuty rp_filter
> PS> (/proc/sys/net/ipv4/conf/*/rp_filter, defaultne je), tak tento paket neprejde.
> PS> Pokial pouzivate vnutri niektore z privatnych IP subnetov, neprejdu ani tie.
>
> PS> Iste, blokovanie cez iptables prida ochrane dalsi layer, pokial vsak take
> PS> pakety bez iptables pravidiel prejdu, tak je nieco zle a treba sa na to
> PS> pozriet.
> Pozor - rp_filter funguje pouze pro spravne formatovane pakety. Pokud je
> hlavicka zamerne poskozena spravnym zpusobem, prez rp_filter to projde a je
> potreba pouzit iptables a kontrolovat to podle stavu spojeni (alespon takhle
> se mi to jevi jako nejspolehlivjejsi).
Jasne, teda -m state --state INVALID -j DROP
Ale na druhej strane, takto sa spamovat aj tak neda, lebo odpoved na paket
nebude routovana smerovat von (iba ak by nebolo zapnute accept_source_route, a
to robia snad len samovrahovia). V uvedenom pripade to tak podla popisu
skutocne nebolo, ale vyuzil sa zle konfigurovany userspace demon.
Okrem toho IMHO by to ISP mal aj tak filtrovat :-)
> Stanislav PETR
Bye,
Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023
--
The product Microsoft sells isn't the software; it's comfort.
The product that Linux vendors usually sell is freedom.
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 240 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20030315/2672c27e/attachment.sig>
Další informace o konferenci Linux