uzavreni portu

Ing. Pavel Janousek Janousek na FoNet.Cz
Úterý Březen 16 15:11:57 CET 2004 

> -----Original Message-----
> From: Pavel Kankovsky [mailto:peak na argo.troja.mff.cuni.cz] 
> Jeste jednou pro ty mene chapave <g>

	Ja si klidne toho oslika vyberu, protoze ted tomu prestavam
rozumet a dekuji predem za osvetleni...:-)

> Narazilo to uz uvnitr programu iptables, ktery buhviproc 
> odmitnul target
> DROP zpracovat interne a dozadoval se pro nej *userlandoveho* modulu,
> ktery nenasel.

	Ja myslel, ze iptables je pouze binarka - meziksicht pro
konfiguraci parametru jadra, resp. presneji pro volani sluzby jadra
(podobne jako ipchains - ipfw())...=> iptables nic nevi o targetech, ale
proste to nadiktuje kernelu a ten to bud prijme nebo odmitne...

> Z te hlasky vubec nevyplyva, jestli to jadro podporuje, nebo ne.

	Pokud plati vyse uvedene, pak iptables rovnez nemely zadnou
predstavu o targetu REJECT, ale proste to rekly vsemocnemu a ten to
prijal. Jenze v pripade targetu DROP to neprijal a tak iptables ve
vlastni sebezachove se pokusily pripojit toto rozhranni do jadra (zrejme
pres insmod ... ipt_DROP.so) coz selhalo...

	Prvotni pricina problemu je dle meho nazoru prave v tom, ze se k
targetu DROP neznal kernel a iptables se (byt chybne a stejne to
skoncilo fiaskem) to snazily zachranit... shodneme se na tomto?

	Nebo iptables si vyzada (existuje-li sluzba ci lze to?) seznam
targetu provede lexikalni kontrolu vstupu, porovna s moznostma - provede
tedy verifikaci ve vlastni rezii a pokud je vse OK, teprve ten zarucene
spravny a proveditelny pozadavek sdeli vsemocnemu?

> 1. binarka iptables byla naborena (treba i jen v RAM...coz by mne
>    neprekvapovalo, bezny PC hardware ma so se tyce 
> spolehlivosti znacne
>    rezervy),

	Zkouseno nekolikrat a mam dokonce dojem, ze nejen na jednom HW
(ale zrejme na stejnem kernelu), ostatne ten HW bezi uspokojive do dnes
(cca 2.5 roku?)

> 2. zadavany parametr ve skutecnosti nebyl "DROP", ale neco jineho
>    (napr. "DRx<backspace>OP")

	Zase takova trubka nejsem...:-) ale dik za navod, pak bych zacal
nadavat na getty pripadne obsluhu virtualnich konzoli - bylo to zadavano
totiz z normalni prumyslove konzole ve smyslu 102 klavesoveho kybordu.

> -----Original Message-----
> From: Michal Kubecek [mailto:mike na mk-sys.cz] 
> Ještě je třetí možnost. JEstli si dobře vzpomínám, v RedHatu 7.3 bylo
> sice jádro 2.4, ale standardně bylo vše nastaveno na 
> používání ipchains.

	Ano ipchains se zavadely prvni apod... Na rekneme podobne
konfigurovanem stroji (RH 7.3 + updates + fedora legacy + own compile)
to ted chybu nehodilo, puvodni pokus byl na WhiteBoxu. Proste jsem mel
zatmeni...:-)

-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)             FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet     Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz         Tel.: +420  5  4324 4749
WWW:    http://WWW.FoNet.Cz/           E-mail: mailto:Info na FoNet.Cz
-------------------------------------------------------------------

Další informace o konferenci Linux