IPTABLES

Jirka Kosina jikos na jikos.cz
Čtvrtek Říjen 30 10:35:12 CET 2003


On Thu, 30 Oct 2003, Kateřina Bubeníčková wrote:

> # Povolime odchozi pakety, ktere maji nase IP adresy
> $IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT
> jenze ja neznam  $INET_IP - proto pouzivam MASQUERADE muzu misto toho 
> napsat
> $IPTABLES -A OUTPUT -j ACCEPT     ?

To uz muzete rovnou mit
iptables -P OUTPUT ACCEPT

> Co jineho muze v OUTPUTu byt, nez to, co jde z meho pocitace, na kterem
> je FW nebo z domaci site?

Ono tech kontrovzerznich veci v tom serialu na rootu bylo ponekud vic -
osobne se domnivam, ze skutecne nema cenu provadet jakoukoliv filtraci v
chainu OUTPUT (mezi dalsi kontroverzni vec v tomto clanku bych bez vahani
zaradil omezovani poctu prijatych SYN packetu za vterinu pomoci --limit).  
Pravdepobone toto pravidlo ma znemoznit aby nekdo odesilal zevnitr site
packety z falsovanou zdrojovou IP adresou.

-- 
JiKos.


Další informace o konferenci Linux