iptables script + δυνατότητες
Kekes Stamatis
skekes at kosmoslink.gr
Tue Oct 15 12:24:01 EEST 2002
Ego prosopika theoro oti gia ena home mixanima to na exei kaneis toso
"sfixto" firewall einia ligo ypervoli. Apo tin alli an einai se ena
ergasiako
periballon to opoio exei na kanei me prosvasi sto internet tote kala kanei
efoson kai pali den vrisketai piso apo firewalls kai proxies.
>Σωστό, και μέσα στη μέρα θα βρω άλλα 5 ports που τα θέλω να μιλάνε προς τα έξω
>- - θα τα προσθέσω στο script και τελείωσε η υπόθεση. Ένα entry για το KDict,
>ένα για να μιλάς με τον pgp keyserver, σιγά σιγά καλύπτεις όλες τις ανάγκες
>σου, οπότε οτιδήποτε πέραν αυτών μπορείς να το σφάξεις. Άγνωστες συνδέσεις;
>Κακό πράγμα.
>
Symfono gia ta unknown connections. Apla thelei prosoxi mipos kai kopseis
pou kati pou isos na to xreiazesai i pou na mi ksereis oti to xreiazetai to
systima sou ( Px nntp kommeno, kai meta otan ftasei i imera tis allagis
oras
na aporeis giati to mixanima den allakse tin ora! )
>Αυτά τα χαρακτηριστικά τα έχει και το netfilter. Βλέπε switches --tcp-flags,
>- --tcp-option, --mss, --uid-owner, --pid-owner, --sid-owner, --cmd-owner (το
>παράπονό μου), --dscp, --tos... γενικά του πιθήκου τα switches. Αυτό που με
>εκπλήσσει πάντως είναι ότι features που υπάρχουν σε freeware εμπορικά fw της
>πλάκας (βλέπε Tiny Personal Firewall), δεν έχουν ενσωματωθεί ακόμα σε
>firewalls που φαντάζομαι προστατεύουν πολύ σοβαρά δίκτυα...
>
Hmmm isos na skefteis oti an apla kopei ena connection einai poly pio
simantiko apo to na min treksei mia efarmogi pou tha steilei ta paketa.
Apo tin alli yparxoun kai ta intrussion detection systimata pou kanoun
ayti ti douleia. Ayta se synergasia me ta firewalls sikonoun dynamika
blobking rules sta firewalls kai etsi mplkaretai ena connection apo kapoio
"aneythyno" programa.
Apo tin alli otan to firewall exei na prostatepsei mono ton idio tou ton
eayto
einai eykolo se epipedo application layer na to kanei an kai opos
apantise o
Giorgos o Keramidas yparxei tropos parakampsis tou.
Otan omos prokeitai na elegxeis ti trexei sto "apenanti" mixanima kata
proton
stoixeizei se resources aytos o elegxos kai kata deyteron yparxei panta
kapoia
"trypa" pou endexomenos na xrisimopoiei to firewall gia na enimeronetai apo
ton agent pou endexomenos na trexei sto "apenanti" mixanima gia to poio
process
ksekinise i apokrithike se ena connection. An loipon vrethei tropos na
gini highjack
ena tetoio connection isos na odigiseis kai se takeover tou firewall.
Den thelo na epektatho parapera mia pou den arxizei na ksefeygei apo to
thema
apla ego prosopika to theoro peritto afou mporeis na kopseis ta
connections anti na
epitrepeis i na min epitrepeis ena application na anoiksei connection
gia kapoio
sygkekrimeno user.
> Ή δεν
>συγκαταλέγεται στα φόρτε του xyz GNU-based συστήματος το firewalling και
>γι'αυτό πάει ο κόσμος και τα σκάει στη Cisco;
>
>
Apla opos anelysa kai pio prin einai peritto kata ti gnomi mou panta to
application layer se ena packet filtering systima mia pou gia ayti ti
douleia yparxoun
ta diafora IDS pou kanoun ayti akrivos ti douleia.
Filika
Stamatis
http://www.kosmoslink.gr
mailto:skekes at kosmoslink.gr
More information about the Linux-greek-users
mailing list