hosts.deny
Pavel Kysilka
goldenfish na mamutik.ucw.cz
Neděle Květen 25 20:20:41 CEST 2003
On 25-05-2003 19.19 +0200, Milan Kerslager wrote:
>
zdravim,
> Jinak popis zapisu do souboru hosts.{allow,deny} naleznete v manualovych
> strankach (stranka je soucasti tcp_wrappers):
>
> man 5 hosts_access
>
> Ale byt vami, tak se na to bud vybodnu nebo pouziju iptables, protoze
> pak odmitnete to spojeni jeste driv, nez podrazdi aplikaci, takze pak to
> bude teprve mit nejaky vyznam (vse samozrejme na 1 radku bez zpetneho
> lomitka, pravidlo vsune na prvni pozici INPUT chainu odmitnuti):
>
> iptables -I INPUT 1 -p tcp -s IP1.IP1.IP1.IP1 --dport 80 -j REJECT \
> --reject-with tcp-reset
>
obcas na svem serveru pozoruji take, ze se tam nekdo "dobyva".
na jednu stranu me to nechava v klidu, ale na druhou premyslim o nejakem
automatu, jakoze stavet automaty je jedna z programatorskych zabav, ktery
by dane utocniky blokoval.
a zde mam nejake otazky:
1) jak to potom zatezuje stroj ? mam na mysli na urovni iptables. zde
bych bral v uvahu, ze stroj nemusi byt nejsilnejsi a take, ze muze byt
castecne vytizeny. casem to muze naskakat na mnoho pravidel. zde mam na
mysli treba i pokusy o openrelay ci testovani ftp.
2) jak casto se utoky opakuji z jednoho ipecka ?
3) castecne se daji tyto dotazy rozvinout i na web a ze vam nekdo
navstevuje stranky pomoci skriptu a potom vase informace zverejnuje
nekde jinde. coz po urcitem casu vyvoje projektu slusne reseno "nepotesi".
zde by me zajimaly nejake prakticke zkusenosti ve spojitosti s temito
dotazy.
> --
> Milan Kerslager
> E-mail: milan.kerslager na pslib.cz
> WWW: http://www.pslib.cz/~kerslage/
>
zatim
pavel 'goldenfish' kysilka
Další informace o konferenci Linux