dve otazky o iptables

Sekcia: Konfigurácia 11.10.2006 | 00:31
v-ger   Návštevník
chcel by som sa spytat na dve nejasnosti ohladom iptables: 1. nie je mi celkom viditelny rozdiel medzi tabulkou filter a mangle - vsetky chainy co su v filter su aj v mangle a pravidla by sa teda mali dat spravit aj tam aj tam - cim by sa filter stala nadbytocnou - alebo je tam nejaky rozdiel? 2. na nete som v priklade konfiguracie iptables nasiel ako ochranu pred FIN scanom: $IPTABLES -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP neznamena vsak tento kod, ze druha strana nebude moct regularne ukoncit spojenie? Nebolo by vhodnejsie dat toto pravidlo do tabulky filter za ESTABLISHED,RELATED -j ACCEPT? Vdaka za odpovede

Pre pridávanie komentárov sa musíte prihlásiť.

    • Re: dve otazky o iptables 06.10.2006 | 18:15
      azurIt   Návštevník
      v prvej otazke pises, ze ti nie je jasny rozdiel medzi 'mangle' a 'filter' a v druhej hovoris, ze by podla teba bolo lepsie prehodit nejake pravdilo z 'mangle' do 'filter'.. zaujimave ;)
      • Re: Re: dve otazky o iptables 06.10.2006 | 21:06
        v-ger   Návštevník
        Ano. Predpokladam totiz, ze je dovod preco je filter aj mangle tabulka, aj ked ho ja sam nevidim. A to pravidlo som presunul do filter lebo az tam mam povolene ESTABLISHED,RELATED
    • Re: dve otazky o iptables 06.10.2006 | 22:27
      jariq   Návštevník
      ad1: Tabulka filter je defaultna takze, ak pises nejake pravidlo a nedefinujes tabulku je priradene prave do nej. Tabulku mangle ale vyuzivaju moduly, ktore upravuju nejaku cast paketu, ako napriklad tag (oznacenie) paketu. Pakety podla oznacenia mozes potom napriklad jednoducho prehnat shapperom. Tuto upravu v tabulke filter nespravis. ad2: co pises vyzera logicky.. skus to dat tak ako vravis no pakety nedropuj ale loguj. Z masiny s IP A sa pripoj trebars na ftp a checkni ci je niektory z tych paketov zalogovany. Potom z masiny s IP B pusti FIN scan a checkni ci su zalogovane.
      • Re: Re: dve otazky o iptables 10.10.2006 | 20:40
        v-ger   Návštevník
        Vdaka za odpoved. Ku tej dvojke, ked som si pozrel RFC 793 (o TCP protokole), tak v kapitole 3.1 pisu ze ked je raz spojenie nadviazane, tak vsetky pakety musia mat ACK bit nastaveny, cize situacia ked z bitov FIN,ACK je nastaveny len FIN by nemala nastat (okrem umyselne znetvoreneho paketu) a teda ho mozme zahodit. Mna miatlo ze ked niekde bola schema ukoncenia, tak vyzerala asi takto: A posle FIN B B posle FIN/ACK A A posle ACK B takze to vyzeralo akoby sa spojenie ukoncovalo FIN bez ACK, evidentne vsak v tejto scheme sa mysli ze to ACK spolu s FIN znamena konkretne potvrdenie prveho FIN.
        • Re: Re: Re: dve otazky o iptables 11.10.2006 | 00:31
          jariq   Návštevník
          Predpokladam, ze uz si sa s tym urcite stretol a vies, ze iptables obsahuje modul state, ktory zabezpecuje vykonavanie kontroly stavu spojenia. Ak teda pouzijes pravidlo s tymto modulom (napr. iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT), tak by malo poskytnut vyssiu mieru ochrany nez pravidlo, v ktorom rucne zadefinujes flagy, pretoze bude overovane, ci prechadzajuce pakety naozaj pochadzaju z korektne nadviazaneho spojenia. V takom pripade napriklad snifferom generovany paket neprejde.
LinuxOS.sk © 2004-2024 | LinuxOS.sk - Team | ISSN 1337-7639 | Osobné údaje | Odber noviniek
Hosting sponzorovaný vpsFree.cz o.s.