Firewall explanation

Θοδωρής Λύτρας aspirin at myrealbox.com
Tue Oct 10 16:35:22 EEST 2006 

Σας ευχαριστώ πολύ και τους δύο! Βρήκα και διάβασα τα παρακάτω
http://en.wikipedia.org/wiki/IP_Multicast
http://tldp.org/HOWTO/Multicast-HOWTO-2.html

Δεν μπορώ να πω οτι κατάλαβα πάρα πολλά, αλλά τη γενική ιδέα την έπιασα. 
Ευχαριστώ και πάλι!

Θοδωρής


Στις Δευτέρα 09 Οκτώβριος 2006 18:01, ο/η Giorgos Keramidas έγραψε:
[snip, snip]
> Οχι, δε θα πρεπε να σε τρομάζει.  Απλά πρέπει να ψάξεις λίγο στο Google
> για "multicast" :)


Στις Δευτέρα 09 Οκτώβριος 2006 18:17, ο/η Alexandros Kosiaris έγραψε:
> Θοδωρής Λύτρας wrote:
> > Έχω SuSE 10.0 και έχω ενεργοποιημένο το firewall. Το μηχάνημα είναι
> > standalone: η σύνδεσή μου είναι μέσω modem με το δίκτυο και 192.168.0.4
> > είναι η διεύθυνση που έχω δώσει στην κάρτα δικτύου, στην οποία συνδέω το
> > laptop του κολλητού μου αραιά και που.
> >
> > Βλέπω οτι στο /var/log/firewall έχει πάρα πολλές γραμμές όπως αυτή:
> >
> > Oct  9 16:11:11 equinox kernel: SFW2-INext-DROP-DEFLT-INV IN=modem0 OUT=
> > MAC= SRC=62.189.244.228 DST=62.74.162.73 LEN=719 TOS=0x00 PREC=0x00
> > TTL=50 ID=9050 DF PROTO=TCP SPT=80 DPT=42440 WINDOW=65535 RES=0x00 ACK
> > PSH FIN URGP=0 OPT (0101080A32B319AF0001ACB5)
>
> Το παραπάνω είναι σχεδόν dump των headers του IP-πακέτου όπως έχει
> εισέλθει στο μηχάνημα. Ειναι white space separated entries.
> To 1o είναι το όνομα του rule ας πούμε χοντρικά. Μαντεύω τα
> SFW2 (Suse Firewall) INext (INPUT from external) DROP-DEFLT( policy drop
>  by default) να πετάει δηλαδή τα πακέτα που κάνουν match αυτό το rule.
> Τα in,out είναι τα interfaces (πχ eth0,wlan0). To MAC είναι το ethernet
> address , τα SRC,DST οι διευθύνσεις από όπου έρχεται και πάει το πακέτο.
> H DST πρέπει να είναι η δικιά σου. Τα LEN,TOS,PREC,TTL,ID,DF,WINDOW και
> τα λοιπά που δεν αναφερω είναι θέματα του IP πακέτου και δεν αξίζει τον
> κόπο να τα εξηγώ . Θα ήταν καλό να τα διαβάσεις μόνος σου. Θα σταθώ στα
> PROTO=TCP που σημαίνει TCP προτόκολλο και στα SPT,DPT που είναι οι θύρες
> πηγής και προορισμού. Το παραπάνω συνοπτικά σημαίνει πως ο υπολογιστής
> με IP: 62.189.244.228 (μια IP από Σουηδία) και από την πόρτα 80 (http)
> έστειλε πακέτο στην πόρτα 422440 της IP 62.74.162.73 (η δικιά σου?) και
> μπλοκαρίστηκε. Κατα πάσα πιθανότητα surfares στο web σε κάποιο site και
> κάποιο πακέτο κόπηκε.
>
> > και επίσης πάρα πολλές όπως αυτή:
> >
> > Oct  9 16:12:06 equinox kernel: SFW2-INint-DROP-DEFLT IN=eth0 OUT= MAC=
> > SRC=192.168.0.4 DST=224.0.0.251 LEN=107 TOS=0x00 PREC=0x00 TTL=255 ID=3
> > DF PROTO=UDP SPT=5353 DPT=5353 LEN=87
> >
> > Τονίζω οτι δεν είμαι σε lan, μόνο μέσω modem συνδεδεμένος στο internet.
> > Θα ήθελα κάποιος να μου εξηγήσει χοντρικά τι σημαίνουν αυτές οι γραμμές.
> > Υποθέτω οτι η πρώτη αφορά επιθέσεις από το δίκτυο προς το μηχάνημά μου,
> > πακέτα τα οποία κόβονται από το firewall - σωστά? Και αν κρίνω από τον
> > αριθμό τους (δεκάδες ανά ώρα σύνδεσης), επικρατεί πολύ χάος εκεί έξω...
>
> Μάλλον οχι όπως είδες πιο πάνω.
>
> > Η δεύτερη όμως, η οποία επίσης επαναλαμβάνεται εκατοντάδες φορές σε όλο
> > το log, με τρομάζει. Μάλιστα η διευθυνση IP (DST=)224.0.0.251 είναι
> > παντού η ίδια. Μήπως κάτι έχει καταλάβει στον υπολογιστή μου και
> > προσπαθεί να στείλει πακέτα στη διεύθυνση αυτή???
>
> Ειδικές διευθύνσεις που λέγονται multicast και χρησιμοποιούνται για να
> στέλνονται πακέτα μαζικά. Χρησιμότατη υπηρεσία του IP. Δεν σου
> επιτίθεται κανένας μην ανησυχείς. Εάν διαβάσεις τελικά TCP/IP θα τις
> συναντήσεις.
>
> > Αν μπορεί κάποιος να με διαφωτίσει, θα ήμουν υπόχρεος...
> >
> > Ευχαριστώ,
> > Θοδωρής Λύτρας

-- 
"Beauty is transitory"
"Beauty survives"
	- Mr. Spock & Capt. Kirk, "That which survives", stardate unknown
by Theodore Lytras <aspirin at myrealbox.com>

More information about the Linux-greek-users mailing list