Sziasztok!
Még csak most tanulmányozom az iptables-ről szóló doksikat, és hát - többek között - egy dolgot nem értek. Pl. van e értelme eldobni minden bejövő csomagot, ha nem fut egyetlen szolgáltatás sem? Gondolok itt arra, hogy esetleg a kernelnek így is kell valamennyit foglalkoznia a csomagokkal, vagy éppen hogy nem és sokkal hatékonyabban csinálja a semmit, mint ha pl.
iptables -A INPUT -p tcp --dport 0:65535 -j DROP
lenne rábízva. Illetve, másik kérdésem: Ha valaki csak böngészésre használja a gépét, akkor elég-e neki ennyi:
iptables -A INPUT -p tcp --dport 6000 -j DROP
ha a többi porton nem figyel semmi?
Előre is köszi.
Ben
- 904 megtekintés
Hozzászólások
Ha egyáltalán nem kell kintről elérni:
iptables -F INPUT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
A load amit ezzel megspórolsz az kb elenyésző. A kernelnek mindenképp foglalkoznia kell a csomaggal, tűzfalazva csak annyi a különbség hogy nem kell visszajeleznie hogy "itt nincs semmi".
- A hozzászóláshoz be kell jelentkezni
ebben az esetben nem egyszerubb az
ifconfig eth0 down?
Udv Zoli
- A hozzászóláshoz be kell jelentkezni
Megis mire gondoltal mikor ezt irtad?
- A hozzászóláshoz be kell jelentkezni
Bocsi kicsit faradt voltam, nezd meg az idopontot :-)
Udv Zoli
- A hozzászóláshoz be kell jelentkezni
Egyetertek. Tenyleg elenyeszo. Es nem eri meg kisporolni. Egyelore csak az X fut, de ki tudja, majd eszedbe jut valamivel kiserletezgetni es elfelejted azt is kiszurni... Ezert szoktak inkabb alapbol tiltani mindent.
- A hozzászóláshoz be kell jelentkezni
De elvileg a kérdéses esetben ez is elég lenne?
iptables -A INPUT -p tcp --dport 6000 -j DROP
nmap csak ezt mutatta ki, amikor scanneltem a gépet - igaz, a filtered jelzőt is kitette mellé. Lehet egyebként iptables-el olyan hatást elérnem, hogy úgy tűnjön, a 6000-es porton sem fut semmi?
ben
u.i.: Persze, az alapból tiltás nyilván jó dolog, de most még csak kísérletezgetek az iptables-el és ismerni akarom a többi lehetőséget is (melyik megoldás mennyire jó, rossz, milyen mellékhatásaik lehetnek stb.)
- A hozzászóláshoz be kell jelentkezni
_Rendes_ csomagszűrőben lehet. Tehát ne drop-pold a csomagot, hanem tessen rendes tisztességes választ küldeni.
a) olvasgass utána, hogy működik a TCP, meg az UDP, meg az ICMP
b) jobb híján küldj egy csomagot a (pl.) 10000-s portra, és pl. tcpdump-pal nézd a forgalmat. Aztán küldj egyet az iptables-sel fenti módon védett 6000-s portra. és azt a forgalmat is figyeld. És ha feltűnik a különbség, akkor már csak meg kell keresned, hogy ezt mivel tudod elérni a csomagszűrődben.
- A hozzászóláshoz be kell jelentkezni