LINUX.ORG.RU
ФорумTalks

iptables sucks ?


0

1

Матвей Двинятин и Читатель Друзь, против вас играет Александр Власов из ... :) А теперь внимание простые до безобразия *вопросы*:

1. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе на базе линукс сделать проверку аналогичную synproxy в openbsd PF? (не надо копать в сторону всяких там кук)

2. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе на базе линукс что то делать с каждым например 2ым udp пакетом?

3. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе на базе линукс ограничивать количество соединений с *одного* ip. (может уже и появилось спустя два года а я могу и не знать :) )

линукс фаервол с ip таблицами пригоден разве что для того чтобы форцевать трафиком соседу по подъезду. он **абсолютно** непригоден для защиты публичных и маломальски важных сервисов в агрессивной IP среде.

чел нарывается ?? или он таки прав ? http://lists.debian.org/debian-russian/2006/10/msg00778.html -начало топика . http://lists.debian.org/debian-russian/2006/10/msg00803.html вышеописанная мессага ( я не смог из броузера прочитать , что-то там с кодировкой не то )

anonymous

Матвей Двинятин и Читатель Друзь, против вас играет Александр Власов из ... :)
А теперь внимание простые до безобразия *вопросы*:

1. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе
на базе линукс сделать проверку аналогичную synproxy в openbsd PF? (не надо копать в сторону всяких
там кук)

2. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе
на базе линукс что то делать с каждым например 2ым udp пакетом?

3. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе
на базе линукс ограничивать количество соединений с *одного* ip. (может уже и появилось
спустя два года а я могу и не знать :) )

линукс фаервол с ip таблицами пригоден разве что для того чтобы форцевать трафиком соседу по подъезду.
он **абсолютно** непригоден для защиты публичных и маломальски важных сервисов в агрессивной IP среде.



чел нарывается ?? или он таки прав ?
http://lists.debian.org/debian-russian/2006/10/msg00778.html -начало топика .
http://lists.debian.org/debian-russian/2006/10/msg00803.html вышеописанная мессага ( я не смог из броузера прочитать , что-то там с кодировкой не то )

anonymous
()

>линукс фаервол с ip таблицами пригоден разве что для того чтобы форцевать трафиком соседу по подъезду

И как такой простой вещи об iptables не знают те, кто его использует.. :)

fagot ★★★★★
()

Прослезилсо ... зачётно. Спасибо посмеялсо.

robot12 ★★★★★
()
Ответ на: комментарий от zort

>а что нужно использавать ?

В первую очередь - мосК, так сказать :) И не читать фанатичные темы "знающих" анонимусов.

fagot ★★★★★
()
Ответ на: комментарий от anonymous

> как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе на базе линукс сделать проверку аналогичную synproxy в openbsd PF?

iptables -N synflood_block iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST SYN -j synflood_block iptables -A synflood_block -m limit --limit 2/s --limit-burst 4 -j RETURN iptables -A synflood_block -j DROP

> как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе на базе линукс что то делать с каждым например 2ым udp пакетом?

iptables -A FORWARD -p udp -m nth --every 2 -j DROP

> как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе на базе линукс ограничивать количество соединений с *одного* ip.

iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 2 -j REJECT

А теперь я начну задавать вопросы:

1) Что имеется ввиду под "многоуважаемым фаерволом, на базе линукс"? Во всех дистрибутивах может быть разный набор собранных модулей. А если используется Gentoo?

2) Что считается сборкой с патчами? Во многих случаях, можно создать пакет, собирающий модули iptables под текущее ядро, т.к. далеко не все из них требуют патчей.

3) А почему, собсвенно, без пересборки? Разве не в многоуважаемом *BSD, предлагают пересобирать ядро по каждому чиху?

atrus ★★★★★
()
Ответ на: комментарий от atrus

atrus, расслабься. Чел просто ниасилил сам настроить iptables, вот и придумал грандиозный план - как задать вопрос так, чтоб на него 100% ответили :) Поздравляю, вас снимала скрытая камера :)

anonymous
()
Ответ на: комментарий от anonymous

> Поздравляю, вас снимала скрытая камера :)

Да мог бы и просто спросить. Собственно, для чего ещё форум? ;-)

atrus ★★★★★
()
Ответ на: комментарий от atrus

зато в ПФ есть морально устаревший CBQ со смешным возможным количеством классов (256), что для боевых условий... эм... маловато. Конечно же есть аналог HTB, но он до сих пор (поправьте меня!) не в ведре и, если оч. надо, надо пересобирать ядро...

Pi ★★★★★
()
Ответ на: комментарий от anonymous

Говорят это хрен с ними, с необразованными неучами, так они его ещё и траслитерируют при написании, каждый раз по разному, как будто словосочетание межсетевой экран не проще написать.

anonymous
()

Г-н долбоеб.
Ниже по тексту, в других сообщениях, он называет всех в рассылке "уебанами" и "красноглазиками". Не очень понятно, зачем он вообще туда приперся.

Zulu ★★☆☆
()
Ответ на: комментарий от hatefu1_dead

> в iptables 1.2.11 (RHEL4) connlimit отсутствует. в 1.3.5 (Debian) он уже есть.

Исчёбы. :) Только я сомневаюсь (хотя и не смотрел в pom), что для connlimit патч ядра потребуется. Если так, то модуль и юзерладн можно собрать отдельно, выполнив поставленные требования. :)

atrus ★★★★★
()
Ответ на: комментарий от Pi

> поправьте меня!

Не могу. По *BSD у меня больше теоретические знания. :)

atrus ★★★★★
()
Ответ на: комментарий от zort

если ни OpenBSD, ни FreeBSD не устраивают то можно ещё NetBSD и DragonFly BSD (аналог Linux, даже по нумерации релизов совпадает).

Если NetBSD и DragonFly BSD тоже не устраивают, то есть ещё порт для Windows 2000/XP, но предназначен только для домашнего пользователя. Так что с выбором здесь проблем нет. ;)

km ★★★
()
Ответ на: комментарий от atrus

> 3) А почему, собсвенно, без пересборки? Разве не в многоуважаемом *BSD, предлагают пересобирать ядро по каждому чиху?

Здрасьте! В OpenBSD вообще запрещают пересобирать ядро с изменёнными параметрами. Говорят, что если изменишь параметры ядра, и что-то работать перестанет, да ещё после этого пойдёшь качать права в публичные рассылки, то заплюют. ;)

Хотя в FreeBSD 4.x сталкивался с необходимостью собирать аудио-драйвер (хотя и без патчей), и в каком-то релизе они даже отключили поддержку agp в ядре по умолчанию -- и нифига X-сервер не запускался, пришлось пересобирать ядро...

km ★★★
()
Ответ на: комментарий от atrus

>iptables -A FORWARD -p udp -m nth --every 2 -j DROP

Хе-хе, может и функционал IPVS (который тоже под линукс) можно заменить парой рулесов на iptables? :)

anonymous
()
Ответ на: комментарий от Zulu

2 Zulu

>Г-н долбоеб.
>Ниже по тексту, в других сообщениях, он называет всех в рассылке >"уебанами" и "красноглазиками". Не очень понятно, зачем он вообще туда >приперся.

спокойствие , только спокойствие , как вы могли бы заметить тема расположена в Talk-сах и предназначена для вызова LOR-овского флейма ( информативного и веселого) :)
а в том что iptables крут , никто не сомневается .

(автор)

anonymous
()
Ответ на: комментарий от anonymous

>А насколько этично и при каких случаях конкретно пользоваться DROP вместо REJECT?

при reject получишь кошерный отлуп и всем станет ясно что порт блокирован . при дроп сесия отвалится по тайм-ауту ( кажется)

кста в freebsd можно через sysctl выставить net.inet.(tcp|udp).blackhole и в этом случае при сканировании портов сканер затыкается надолго . подобная фича в linux есть только в виде патча насколько мне известно.

anonymous
()
Ответ на: комментарий от Zulu

Фамилиё у человека хорошее. Почему-то сразу ru.os.cmp вспоминается. И ейный фак.

anonymous
()
Ответ на: комментарий от anonymous

> А насколько этично и при каких случаях конкретно пользоваться DROP вместо REJECT?

Причём тут этика? DROP - забывает о пакете. REJECT посылает обратно icmp уведомление о типе ошибки. REJECT надо ставить, когда клиентское ПО должно получить уведомление о том, что соединение запрещено. В противном случае оно будет ждать таймаута. Например, я ставлю REJECT на исходящий FORWARD, что бы внтуренние клиенты сразу видели, что такое соединение запрещено. Наружу в большинстве случаев - DROP.

atrus ★★★★★
()
Ответ на: комментарий от anonymous

> Хе-хе, может и функционал IPVS (который тоже под линукс) можно заменить парой рулесов на iptables? :)

/me читает про IPVS.

Ну, если поглядеть в pom, то для простых случаев - да, таки можно. 8)

atrus ★★★★★
()
Ответ на: комментарий от anonymous

> подобная фича в linux есть только в виде патча насколько мне известно.

Есть. Первый вариант в виде критерия, позволяющего ловить портсканы, а второй - цель TARPIT, которая позволяет подвесить сессию, оставив её в полуоткрытом положении. Хотя для хорошего сканера это не помеха. Тогда есть MIRROR, но это уже криминал. :)

atrus ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.