LINUX.ORG.RU

iptables проверки

 


0

1

Хотел бы поинтересоваться: есть множество различных правил по проверке валидности пакетов, например

$IPTABLES -A INPUT -m state --state INVALID -j invalid_drop
$IPTABLES -A OUTPUT -m state --state INVALID -j invalid_drop


$IPTABLES -A OUTPUT -p udp --sport 111 -j udp111

$IPTABLES -A INPUT -m pkttype --pkt-type broadcast -j DROP
$IPTABLES -A INPUT -m pkttype --pkt-type multicast -j DROP

## nmap Null scans / no flags
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j portscan_drop
## nmap FIN stealth scan
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN -j portscan_drop
## SYN + FIN
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j portscan_drop
## SYN + RST
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j portscan_drop
## FIN + RST
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j portscan_drop
## FIN + URG + PSH
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j portscan_drop
## XMAS
$IPTABLES -A INPUT -p tcp --tcp-flags ALL URG,ACK,PSH,RST,SYN,FIN -j portscan_drop
## ALL
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j portscan_drop
## FIN/PSH/URG without ACK
$IPTABLES -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j portscan_drop
$IPTABLES -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j portscan_drop
$IPTABLES -A INPUT -p tcp --tcp-flags ACK,URG URG -j portscan_drop

Стоит ли уже активным соединениям (ESTABLISHED,RELATED) разрешать пропускать эти и подобные им проверки или же злоумышленники после корректной авторизации могут использовать отсутствие подобных проверок?

Благодарю за разъяснения.


ESTABLISHED,RELATED обычно ставится сразу после правил на основные цепочки до частных правил. Далее идут частные правила allow, и потом все deny. Поэтому в обычном состоянии все подобные проверки нельзя обойти ни злоумышленникам, ни всем остальным, и повод сделать иначе нужно еще обосновать.

SunDoc ()