IPTABLES

volesak na aristia.cz volesak na aristia.cz
Čtvrtek Říjen 30 12:54:08 CET 2003


:Ono tech kontrovzerznich veci v tom serialu na rootu bylo ponekud vic -
osobne se domnivam, ze skutecne nema cenu provadet :jakoukoliv filtraci v
chainu OUTPUT (mezi dalsi kontroverzni vec v tomto clanku bych bez vahani
zaradil omezovani poctu :prijatych SYN packetu za vterinu pomoci --limit).  
:Pravdepobone toto pravidlo ma znemoznit aby nekdo odesilal zevnitr site
packety z falsovanou zdrojovou IP adresou.

Omezeni prijatych SYN paketu je podle mne dost dulezite v okemziku, kdy na
vas nekdo hodla provadet SYN flooding, scan ci DoS, ne? Pro falesne IP je
ipspoofing, nebo se mylim? Zrovna tak by na zacatku kazdeho FW melo byt
neco, co zamezi pristup zvenci adresam, ktere se nachazeji ve vnitrni siti,
ci primo na vnejsim interfacu.
Honza Volesak


Další informace o konferenci Linux