Что умеет PostSentry чего бы не умел iptables?

0

0

http://itam.nsc.ru/LinuxLand/howto/howto01/packet-filtering-HOWTO-7.html#ss7.3:
"...
Вы можете также использовать этот модуль для того чтобы избежать различного рода (DoS) атаки.
защита от Syn-flood:
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
защита от скрытого сканирования портов:
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
всем известный Ping of death:
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
..."

Cледует ли полагать исходя из вышесказанного, что на сервере, где настроен
iptables на защиту от DoS-атак, PortSentry попросту не нужен?

Ссылка

←

syslog

SATAN

→

voobshe-to eto sovershenno raznye veshi i sravnivat' ix nel'zya... nachnem s togo chto ipchains eto kernel packet-filter a portsentry host-level ids (esli tak mojno skazat'). :)

anonymous
(20.12.01 17:50:31 MSK)

Ссылка

Совершенно верно, если Iptables уже настроен на блокировку сканирования,
то PortSentry будет лишний. Другое дело, что PortSentry использует более широкий диапазон
средств блокирования "плохого" IP.
И тот и другой предоставляют возможность просто извещения о попытке сканирования
без блокировки (LOG для iptables И mail для portsentry)
В общем, если тебе нужно защититься от сканов и DOS-атак на внешнем уровне,
то Iptables, если же хочешь использовать средства блокировки от Portsentry, то не использую
приведенные выше тобой шаблоны, а впускай пакеты и юзай PortSentry.
Удачи!

anonymous
(24.12.01 13:37:36 MSK)

Ссылка

По моим наблюдениям iptables прилично тормозит пакеты...

...поэтому я его в качестве блокировщика DoS & Scan не использую, а только в качестве
фильтра пакетного, а впустив пакет, отдаю его на растерзание PortSentry
Так у меня обработка пакетов происходит гораздо быстрее, нежели когда всем
занимается один только iptables.
Вот (для меня) единственная разница в _той_части_, в которой функции iptables & PortSentry
совпадают.

anonymous
(25.12.01 13:52:24 MSK)

Ссылка

Это конечно offtipic, но что-то не правильно настроено если PortSentry быстрее iptables работает.

Alximik ★
(25.12.01 18:40:06 MSK)

Ссылка

В приведенном примере не рассматривается udp-трафик.
Так что вешать PortSentry на udp-порты все равно придется.
Хотя, наверное, можно и iptables под это поднастроить, что-то вроде:
iptables -A FORWARD -p udp -m limit --limit 1/s -j ACCEPT

Кстати, если у меня на сервере открыты только 25 и 110 порты плюс те что выше 1024
(по принципу сначала все запретить, потом открыть то, что нужно), то
приведенный выше модуль следует вставить между запрещением всего и
открытием 25, 110 и клиентских портов?

anonymous
(28.12.01 14:54:09 MSK)

Ссылка

Что же это получается?

Стоит на сервере и iptables и PortSentry
iptable открывает только 25,53, 113,110 и клиентские порты
Политика по умолчанию DROP, ЗНАЧИТ, 80 порт тоже DROP,
+ еще проверено хождение пакетов на 80 порт с помощью опции -c
Никакого web-сервера на серваке в помине нет.

PortSentry работает в advanced-режиме и слушает все порты меньшие 1024
и вдруг сообщает о скрытом сканировании 80 порта.

Разве пакет к PortSentry попадает не после фильтрации iptable'ом?
Ведь,если iptable по умолчанию DROP-ит пакеты, приходящие на 80 порт,
не должен ведь PortSentry кричать о сканировании!
Что я не так понимаю???

anonymous
(09.01.02 14:23:56 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

syslog

Security

SATAN

→

По моим наблюдениям iptables прилично тормозит пакеты...

Что же это получается?

Похожие темы