iptables script + δυνατότητες

Alexandros Papadopoulos apapadop at cmu.edu
Tue Oct 15 08:44:01 EEST 2002


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Tuesday 15 October 2002 00:33, Giorgos Keramidas wrote:
> [ WARNING:  Μεγάλο σε μέγεθος reply.  Hit DEL while there's time :P ]
(οκ, θα το πεθάνω στα snips μπας και συμμαζευτεί :-] )

> αν έχω καταλάβει καλά από τα σχόλια τι κάνει το καθετί (δεν έχω δει
> εδώ και κάμποσο καιρό firewall σε Linux) αλλά το log_martians δεν είναι
> λίγο περιττό σε συνδυασμό με αυτά που προηγούνται;
>
> 	/proc/sys/net/ipv4/icmp_echo_ignore_all <- 1
> 	/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts <- 1
> 	/proc/sys/net/ipv4/conf/all/accept_source_route <- 0
> 	/proc/sys/net/ipv4/conf/all/accept_redirects <- 0
> 	/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses <- 1
> 	# και παρακάτω
> 	/proc/sys/net/ipv4/conf/all/log_martians <- 1
>

Όλα τα προκαταρτικά (μη-iptables ρυθμίσεις), τις έχω κάνει copy/paste από το 
site του James Stephens 
(http://www.sns.ias.edu/~jns/security/iptables/index.html)
όπου και εξηγεί καλύτερα το σκεπτικό. Γενικότερα από τη στιγμή που δεν μου 
δημιουργούν πρόβλημα, προτιμώ να έχω υπέρμετρα paranoid ρυθμίσεις από έστω 
και λίγο relaxed.

> Μια παρατήρηση που έχω να κάνω είναι ότι δεν ξέρω πόσο καλή ιδέα είναι
> να έχεις στο output chain σαν policy το drop.  Το να κόβεις και όλα τα
> εξερχόμενα πακέτα είναι μάλλον υπερβολικό.  Είναι συνήθως περισσότερο
> εμπόδιο, παρά βοήθεια.  Στο σπίτι, το FreeBSD που έχω στημένο εγώ έχει

Σωστό, και μέσα στη μέρα θα βρω άλλα 5 ports που τα θέλω να μιλάνε προς τα έξω 
- - θα τα προσθέσω στο script και τελείωσε η υπόθεση. Ένα entry για το KDict, 
ένα για να μιλάς με τον pgp keyserver, σιγά σιγά καλύπτεις όλες τις ανάγκες 
σου, οπότε οτιδήποτε πέραν αυτών μπορείς να το σφάξεις. Άγνωστες συνδέσεις; 
Κακό πράγμα.

<snip>

> Στο FreeBSD υπάρχει και το ipfw, το καμάρι του Luigi Rizzo.  Αυτό έχει
> διαφορετική γλώσσα ορισμού των κανόνων από όλα τα άλλα, η οποία κατά
> καιρούς αλλάζει προς το καλύτερο (σύμφωνα με τον Luigi), και υπάρχει
> μόνο για FreeBSD -- κυρίως επειδή ο τρόπος που γράφει ο Luigi είναι
> τέτοιος που είναι κάπως δύσκολο να τον ακολουθήσει κανείς και έχει
> φτιάξει το ipfw και το natd έτσι που να είναι κάπως δύσκολο να βρει
> κάποιος τρόπο να τα ξεχωρίσει από το FreeBSD kernel και userland.
>
> Το natd και το ipfw έχουν όμως κάποια από τα χαρακτηριστικά που
> θέλεις.  Το ipfw μπορεί να φιλτράρει με βάση uid, gid, ή ακόμα και με
> βάση πεδία από το πακέτο (IP id, version, ttl, length, precedence,
> tos, options. TCP flags, sequence number, window size, options, κλπ).

Αυτά τα χαρακτηριστικά τα έχει και το netfilter. Βλέπε switches --tcp-flags, 
- --tcp-option, --mss, --uid-owner, --pid-owner, --sid-owner, --cmd-owner (το 
παράπονό μου), --dscp, --tos... γενικά του πιθήκου τα switches. Αυτό που με 
εκπλήσσει πάντως είναι ότι features που υπάρχουν σε freeware εμπορικά fw της 
πλάκας (βλέπε Tiny Personal Firewall), δεν έχουν ενσωματωθεί ακόμα σε 
firewalls που φαντάζομαι προστατεύουν πολύ σοβαρά δίκτυα... Ή δεν 
συγκαταλέγεται στα φόρτε του xyz GNU-based συστήματος το firewalling και 
γι'αυτό πάει ο κόσμος και τα σκάει στη Cisco; 

- -Α
- -- 
http://www.andrew.cmu.edu/~apapadop/pub_key.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)

iD8DBQE9q6pagmAMwQt1gmURAgf7AJ4xEhCVbAoMTB84QDvZTeHCDyn/GwCeMvaZ
REeiASvX8+Cy8va1fSv0bfw=
=zhXZ
-----END PGP SIGNATURE-----




More information about the Linux-greek-users mailing list