iptables script + δυνατότητες

Giorgos Keramidas keramida at freebsd.org
Tue Oct 15 09:29:01 EEST 2002


On 2002-10-15 01:40, Alexandros Papadopoulos <apapadop at cmu.edu> wrote:
> > Το natd και το ipfw έχουν όμως κάποια από τα χαρακτηριστικά που
> > θέλεις.  Το ipfw μπορεί να φιλτράρει με βάση uid, gid, ή ακόμα και με
> > βάση πεδία από το πακέτο (IP id, version, ttl, length, precedence,
> > tos, options. TCP flags, sequence number, window size, options, κλπ).
>
> Αυτά τα χαρακτηριστικά τα έχει και το netfilter. Βλέπε switches
> --tcp-flags, --tcp-option, --mss, --uid-owner, --pid-owner,
> --sid-owner, --cmd-owner (το παράπονό μου), --dscp, --tos... γενικά
> του πιθήκου τα switches. Αυτό που με εκπλήσσει πάντως είναι ότι
> features που υπάρχουν σε freeware εμπορικά fw της πλάκας (βλέπε Tiny
> Personal Firewall), δεν έχουν ενσωματωθεί ακόμα σε firewalls που
> φαντάζομαι προστατεύουν πολύ σοβαρά δίκτυα...

Το tiny personnal firewall, όπως και το αποτέτοιο που ξεχνάω πάντα πως
το λένε και έχει ξετρελλαθεί μαζί του ο κόσμος των Windows, είναι
application level firewalls. Χρησιμοποιώντας το ipfilter ή το ipfw
μπορείς να φτιάξεις κάτι τέτοιο.  Ξέρεις πότε θα αρχίσεις να γελάς
όμως με τα application level firewalls;  Όταν προσπαθήσεις να βρεις
τρόπο να κλειδώσεις με ένα τέτοιο κάποιο πρόγραμμα που χρησιμοποιεί
την setprogname(3).  Με λίγα λόγια, δεν υπάρχουν τέτοια firewalls
στο Unix γιατί είναι γνωστός και τεκμηριωμένος τουλάχιστον ένας τρόπος
να τα παρακάμψεις, παίζοντας παιχνίδια με το argv[0] και την exec()
όπου δεν υπάρχει στην libc η κλήση setprogname(3) ή χρησιμοποιώντας
την setprogname(3) για να "μασκαρευτείς" πίσω από ένα πρόγραμμα που
δεν είναι μπλοκαρισμένο όπου αυτή υπάρχει.

Μα πως δεν το σκέφτηκα πριν; :P

Γιώργος.



More information about the Linux-greek-users mailing list