Zapis pravidel v iptables
Dalibor Straka
dast na panelnet.cz
Sobota Červen 12 23:27:13 CEST 2004
On Sat, Jun 12, 2004 at 08:12:02PM +0200, Peter Surda wrote:
> On Sat, Jun 12, 2004 at 07:17:57PM +0200, Dalibor Straka wrote:
> > On Sat, Jun 12, 2004 at 04:09:52PM +0200, Peter Surda wrote:
> > >
> > > > # FORWARD (pruchod serverem)
> > > > iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
> > > A toto je co? Nema syn a zaroven je NEW? Mam dojem za take neexistuju. Keby sa
> > > niekto snazil fejkovat nove spojenie, bolo by INVALID a nie NEW.
> > V linuxu ano, ale pokud ten firewall ma chranit i windowsi stroje,
> > nechal bych ho tam. Maji ten tcp/ip stack pomrvenej, berou i paket
> > ACK, ktery zahajuje novou session a rovnou obsahuje data. Takze zadny
> > 3way handshake.
> Nepytal som sa, ci take pakety niekto generuje, ale ci su interpretovane ako
> NEW. Podla mna nie -> pravidlo je nepotrebne.
>
Ahoj,
temer cele iptables jsem se naucil z tohoto dokumentu:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
kde se mimo jine pise:
#
# bad_tcp_packets chain
#
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
-- Dalibor Straka
Další informace o konferenci Linux