IPTABLES
Antonín Micka
antonin.micka na megasphera.cz
Čtvrtek Říjen 30 10:54:07 CET 2003
Dne čt 30. říjen 2003 10:35 Jirka Kosina napsal(a):
> On Thu, 30 Oct 2003, Kateřina Bubeníčková wrote:
> > # Povolime odchozi pakety, ktere maji nase IP adresy
> > $IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT
> > jenze ja neznam $INET_IP - proto pouzivam MASQUERADE muzu misto toho
> > napsat
> > $IPTABLES -A OUTPUT -j ACCEPT ?
To by znamenalo, ze to, co se dostane az k tomuto pravidlu se povoli, tudiz
to "prebije" vychzi politiku. Ve tride OUTPUT se obejevi jen to, co jde z
lokalhost, tudiz to potreba filtrovat neni. Lepsi je, definovat pravidla ve
tride FORWARD a INPUT.
>
> To uz muzete rovnou mit
> iptables -P OUTPUT ACCEPT
Ano, tak je to lepsi a i kdyz to ma ve vysledku stejny dopad, je to
efektivnejsi.
>
> > Co jineho muze v OUTPUTu byt, nez to, co jde z meho pocitace, na kterem
> > je FW nebo z domaci site?
>
> Ono tech kontrovzerznich veci v tom serialu na rootu bylo ponekud vic -
S tim budu souhlasit.
> osobne se domnivam, ze skutecne nema cenu provadet jakoukoliv filtraci v
> chainu OUTPUT (mezi dalsi kontroverzni vec v tomto clanku bych bez vahani
> zaradil omezovani poctu prijatych SYN packetu za vterinu pomoci --limit).
> Pravdepobone toto pravidlo ma znemoznit aby nekdo odesilal zevnitr site
> packety z falsovanou zdrojovou IP adresou.
Take bych vam doporucil pouzit stavovych pravidel. Pokud budete potrebovat
dasli radu, klidne se muzete obratit primo na me.
--
Antonín Mička
===========
Další informace o konferenci Linux