Portsentry

Linux-kezdő

Portsentry

  • 933 megtekintés

( szucs_t | 2005. 10. 15., szo – 15:05 )

[quote:59b9ad1347="mrbond"]
ajánlanék egykis netfilter rtfm-t, mert a kettő között kiba nagy eltérés van.

-I (INSERT) a lánc elejére illeszt, -A (APPEND) meg a végére.
és úgy működik, hogy sorban ellenörzi a szabályokat a chainbe, ha egyezést talál, akkor végrehajtja a rulet, és nem megy tovább a chain többi ruleján.

persze ez az eredeti portsentrys problémára nem megoldás, csak a tisztánlátás kedvéért.

Teljesen igazad van, a -I és a -A is saját jelentéssel bír, azonban fórumtársunk bizonyára azt mondta, nemigazán van lényegi különbség a kettő között a kérdésre vetítve.

( johnn21 | 2005. 10. 12., sze – 15:43 )

Feltelepítettem a Portsentry-t. Elindítottam és egy másik gépről megszkenneltem. A /var/lib/portsentry-ben meg is jelent a szöveg. De aportsentry.conf-ban hiába adom meg, hogy KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP" nem veszi fel ezt a sort a netfilter táblába.
M lehet a gond?

( Ysolt | 2005. 10. 14., p – 23:32 )

iptables -I helyett iptables -A nem segit?

Kozben rajottem, hogy nem igazan van lenyegi kulonbseg a 2 kozott.

( szucs_t | 2005. 10. 15., szo – 10:03 )

[quote:f706ce3d42="johnn21"]Feltelepítettem a Portsentry-t. Elindítottam és egy másik gépről megszkenneltem. A /var/lib/portsentry-ben meg is jelent a szöveg. De aportsentry.conf-ban hiába adom meg, hogy KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP" nem veszi fel ezt a sort a netfilter táblába.
M lehet a gond?

Ez a Portsentry jó kis program...

Gondolom a /sbin-ben van az iptables parancsod. Ha így van, nem tudom, mi az oka a hibának, de én nem így használom. Sokszor előfordul, hogy az nmap-et és hasonló pásztázókat a kalózkodó nem azon a gépen végzi, amely a sajátjáé, hanem egy harmadik masinán, és az a masina lehet olyan, amelynek legálisan szüksége lehet a szerverrel való kapcsolathoz. Ebben az esetben (és a legtöbb ilyen) nem célszerű véglegesen tiltani a tűfalon. Én azt tettem, hogy a feltételezhetően kalózkodó gép IP-címét én magam dolgozom fel, illetve automatizálom: saját parancskiadással tiltom az IP-címmel való forgalmat, teszek ezt-azt, végül megadott idő után feloldom a tiltást. Vagyis kalózkodni nem fog tudni egy jó ideig, de nem lesz örökre tiltva az IP-cím (ami valószínűleg dinamikus!), és nekem sem kell állandóan a tiltásokat figyelnem, gyakorlatilag mindent elvégez maga a gép.

( mrbond | 2005. 10. 15., szo – 10:50 )

[quote:b100494ca2="Ysolt"]iptables -I helyett iptables -A nem segit?

Kozben rajottem, hogy nem igazan van lenyegi kulonbseg a 2 kozott.

ajánlanék egykis netfilter rtfm-t, mert a kettő között kiba nagy eltérés van.

-I (INSERT) a lánc elejére illeszt, -A (APPEND) meg a végére.
és úgy működik, hogy sorban ellenörzi a szabályokat a chainbe, ha egyezést talál, akkor végrehajtja a rulet, és nem megy tovább a chain többi ruleján.

persze ez az eredeti portsentrys problémára nem megoldás, csak a tisztánlátás kedvéért.