Firewalls
Кто подскажет, как правильно строить Firewall'ы на базеipchains/iptables. Прочел Ipchains-HOWTO - недостаточно.Для примера - хочу чтобы ICMP Echo-Reply (Pong) отсылалсяне чаще чем раза три в секунду.Если можно - приведите свои примеры Firewall'ов.Кстати, еще такая мутка с nmap'ом. Когда сканируешь порты закрытыетипаipchains -A input -s 0/0 -d $MyExternalIP/32 8080 -p TCP -j DENYто nmap отмечает их как filtered, то есть все равно известно что данныйсервис на сервере запущен. Мутка в том что сама ОперационнаяСистема согласно какому-то RFC обязана отвечать, что данный портзакрыт, чем nmap и пользуется. Как бы это прикрыть?
po povodu scanirovanija, v FreeBSD est' takaja fiska:
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=2
v linux ne znaju, no dumaju chto dolzjno byt'.
О! Забыл добавить - собственно Линукс и интересует :-))) Ядро 2.4
nu znachit ja bol'she zdes' spammit' ne budu :)
#4 Apa-i asta si este chestea - ca scanez de la alt comp, si se
scrie FILTERED. Dar daca scanez serverul de la server insasi - clar
lucru ca scrie OPEN. Iata-i cum
По поводу сканирования:
Действительно, ipchains палится nmap'om. Забудь про ipchains. Переходи на IPTABLES.
Цель DROP отлично работает. Притом nmap показывает такие смешные результаты :))
Когда сканят SYN'om, то все порты открыты, когда FIN'om - все открыты :))
О Лимите:
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 3/second -j ACCEPT
Только не пойму почему на PONG? Может на пинг? Тебе надо наверное дропать слишком частые попытки PING. Если заблокировать PING, то и PONG не вернется, а если PONG, -- хаха - тоже самое почти
Не забудь выставить политику DROP на цепочку INPUT (iptables -P INPUT DROP )
Простите, опечатка
"Когда сканят SYN'om, то все порты открыты, когда FIN'om - все открыты :))"
Надо
"Когда сканят SYN'om, то все порты закрыты, когда FIN'om - все открыты :))"