uzavreni portu

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Středa Březen 17 00:48:05 CET 2004 

On Tue, 16 Mar 2004, Michal Kubecek wrote:

> Ještě je třetí možnost. JEstli si dobře vzpomínám, v RedHatu 7.3 bylo
> sice jádro 2.4, ale standardně bylo vše nastaveno na používání ipchains.
> Takže je možné, že v distribuci byl záměrně upravený příkaz iptables
> tak, aby emuloval určité chování ipchains.

To tezko. 7.3 mam a iptables mi pri aktivnich ipchains odmita fungovat.

> Tam byl ještě REJECT brán jako standardní postup a DENY jen jako
> rozšíření.

Omyl. V ipchains nebylo ani jedno z toho rozsireni...protoze v ipchains
zadna rozsireni nebyla (leda pres nejake patche, ale DENY i REJECT bylo
ve standardni verzi).


On Tue, 16 Mar 2004, Ing. Pavel Janousek wrote:

> 	Ja myslel, ze iptables je pouze binarka - meziksicht pro
> konfiguraci parametru jadra, resp. presneji pro volani sluzby jadra
> (podobne jako ipchains - ipfw())...=> iptables nic nevi o targetech, ale
> proste to nadiktuje kernelu a ten to bud prijme nebo odmitne...

iptables ma primo v sobe podporu pro zakladni funkce, jako targety ACCEPT,
DROP atd., testovani IP adres apod. Odpovida to tomu, co jadro umi bez
dodatecnych modulu. Dalsi funkce se pridavaji tak, ze jaderne moduly maji
sve odpovidajici userlandove moduly, ktere umi patricne pochopit zadavane
parametry (napr. --state) a prelozit je do tvaru, kteremu bude rozumet
jadro.

Ty userlandove (a pripadne i jaderne) moduly se nacitaji podle potreby,
kdyz iptables vidi nejake -p, -m, nebo pro nej nezname -j.

> 	Prvotni pricina problemu je dle meho nazoru prave v tom, ze se k
> targetu DROP neznal kernel a iptables se (byt chybne a stejne to
> skoncilo fiaskem) to snazily zachranit... shodneme se na tomto?

Neshodneme. Standardni targety se s jadrem vykomunikovavaji jako
bezejmenny target s parametrem urcujicim, co se ma provest (DROP je
NF_DROP, tedy 0). To uz by muselo jadro hodne blbnout, aby 

> 	Nebo iptables si vyzada (existuje-li sluzba ci lze to?) seznam
> targetu provede lexikalni kontrolu vstupu, porovna s moznostma - provede
> tedy verifikaci ve vlastni rezii a pokud je vse OK, teprve ten zarucene
> spravny a proveditelny pozadavek sdeli vsemocnemu?

Program iptables prelozi vstup do binarniho tvaru a pripadne natahne
potrebne jaderne moduly. Uvnitr jadra se to pak proveri, jestli v tom
nejsou nejake uplne nesmysly.

> > 1. binarka iptables byla naborena (treba i jen v RAM...coz by mne
> >    neprekvapovalo, bezny PC hardware ma so se tyce spolehlivosti znacne
> >    rezervy),
> 
> 	Zkouseno nekolikrat a mam dokonce dojem, ze nejen na jednom HW
> (ale zrejme na stejnem kernelu), ostatne ten HW bezi uspokojive do dnes
> (cca 2.5 roku?)

Stava se to i na hw, co jinak bezi bez potizi (proste je potreba, aby
v nevhodny okamzik priletelo nejake to kosmicke zareni...mate tam
aspon ECC?). A zmatene bity v RAM jsou svine. Pokud to nabori kod nejakeho
programu, tak ta chyba pretrvava do te doby, dokud zustava poskozena
stranka v RAM. Jak se jednou vyhodi a nacte znova, tak chyba najednou
zmizi.


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux