IPCHAINS - politika pravidel

B.Duda b.duda na rubicon.cz
Středa Leden 21 14:00:33 CET 2004 

Na zaklade toho, co jsem si stihnul precist v ruznych knihach o firewallech,
jsem dosel k zaveru, ze delat stavovy firewall bez hlubokych znalosti
firewallu, protokolu, iptables, tcp/ip a reserv. adrs vcetne zpusobu utoku
stylem vse zakazu a pak zkousim povolit co potrebuju je nesmysl. 

Komplexni priklad jsem nasel akorat na openna.com , který mi prisel
relativne srozumitelny ale shorewall je soucasti mandrake, ma v sobe vse nac
jsem myslel a co jsem, se kde docetl, propracovanou dokumentaci a je velice
lehce konfigurovatelne.

Je to muj osobní nazor - moc se mi libi. Timto nezatracuju lidi co to umi
rucne, ja natolik ne, spokojim se s resenim, které funguje, sam bych takovy
firewall nevymyslel.

Mimochodem když se dnes podivam na vytvory v ipchains s kteryma jsem byl v
rh 6.2 spokojeny a srovnam to se shorewall napr. Podle dok. My network,
musim se tem starym pokusum smat. Ale protože jsem nelogoval, byl jsem v
klidu, dnes jen ziram kolikrat denne někdo zkousi najit diru.

Kousek logu za vcerejsek. Nevim co bych dodal.


Dropped 454 packets on interface eth0
  From 4.40.130.58 - 3 packets to tcp(139)
  From 12.65.120.246 - 1 packet to tcp(25)
  From 24.30.60.182 - 1 packet to tcp(3410)
  From 24.46.82.177 - 1 packet to tcp(135)
  From 38.117.144.7 - 6 packets to tcp(33794,33795)
  From 61.9.20.236 - 1 packet to tcp(135)
  From 61.11.33.111 - 1 packet to udp(137)
  From 61.51.160.176 - 1 packet to udp(137)
  From 61.51.192.73 - 1 packet to udp(137)
  From 61.220.106.2 - 1 packet to udp(137)
  From 61.235.141.1 - 1 packet to udp(137)
  From 61.247.225.209 - 1 packet to udp(137)
  From 61.253.205.164 - 3 packets to icmp(0)
  From 62.121.131.97 - 1 packet to udp(137)
  From 62.189.244.230 - 14 packets to tcp(45540)
  From 62.203.232.84 - 2 packets to tcp(445)
  From 63.246.221.68 - 1 packet to udp(137)
  From 64.164.72.6 - 3 packets to tcp(445)
  From 64.200.92.147 - 6 packets to tcp(21183)
  From 64.219.55.242 - 1 packet to tcp(445)
  From 65.213.147.254 - 1 packet to tcp(6129)
  From 66.50.4.65 - 1 packet to udp(137)
  From 66.55.236.147 - 1 packet to tcp(1214)
  From 66.122.242.143 - 1 packet to udp(137)
  From 66.130.159.41 - 1 packet to tcp(27374)
  From 66.150.8.22 - 6 packets to udp(33440)
  From 66.150.8.30 - 6 packets to udp(33441)
  From 67.66.252.141 - 1 packet to tcp(135)
  From 67.68.149.218 - 1 packet to udp(137)
  From 67.71.113.94 - 1 packet to udp(137)
  From 67.75.75.219 - 1 packet to tcp(135)
  From 67.120.75.60 - 1 packet to tcp(135)
  From 68.10.159.112 - 2 packets to tcp(6129)
  From 68.18.184.32 - 1 packet to tcp(135)
  Fro


-----Original Message-----
From: Pavel Janoušek [mailto:janousek na fonet.cz] 
 
> -----Original Message-----
> From: B.Duda [mailto:b.duda na rubicon.cz] 
> Az to prostudujete, zjistite , ze vlastní navrh je ztrata 
> casu, pokud to
> ovšem nedelate opravdu z vyzkumnych duvodu.

	Na zaklade ceho jste dosel k tomuto vcelku odvaznemu tvrzeni?

Další informace o konferenci Linux