LINUX.ORG.RU
ФорумSecurity

iptables проверки

 


0

1

Хотел бы поинтересоваться: есть множество различных правил по проверке валидности пакетов, например 

$IPTABLES -A INPUT -m state --state INVALID -j invalid_drop
$IPTABLES -A OUTPUT -m state --state INVALID -j invalid_drop


$IPTABLES -A OUTPUT -p udp --sport 111 -j udp111

$IPTABLES -A INPUT -m pkttype --pkt-type broadcast -j DROP
$IPTABLES -A INPUT -m pkttype --pkt-type multicast -j DROP

## nmap Null scans / no flags
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j portscan_drop
## nmap FIN stealth scan
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN -j portscan_drop
## SYN + FIN
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j portscan_drop
## SYN + RST
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j portscan_drop
## FIN + RST
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j portscan_drop
## FIN + URG + PSH
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j portscan_drop
## XMAS
$IPTABLES -A INPUT -p tcp --tcp-flags ALL URG,ACK,PSH,RST,SYN,FIN -j portscan_drop
## ALL
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j portscan_drop
## FIN/PSH/URG without ACK
$IPTABLES -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j portscan_drop
$IPTABLES -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j portscan_drop
$IPTABLES -A INPUT -p tcp --tcp-flags ACK,URG URG -j portscan_drop

Стоит ли уже активным соединениям (ESTABLISHED,RELATED) разрешать пропускать эти и подобные им проверки или же злоумышленники после корректной авторизации могут использовать отсутствие подобных проверок?

Благодарю за разъяснения.



Последнее исправление: momi (всего исправлений: 1)

Ответ на: комментарий от stels

Можно по сути вопроса ответить?

momi
() автор топика

ESTABLISHED,RELATED обычно ставится сразу после правил на основные цепочки до частных правил. Далее идут частные правила allow, и потом все deny. Поэтому в обычном состоянии все подобные проверки нельзя обойти ни злоумышленникам, ни всем остальным, и повод сделать иначе нужно еще обосновать.

SunDoc
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security