[...] > > mmmm.. me me viene la duda, de cual es el mejor método tcpwrappers o > iptables para bloquear/autorizar acceso a algún servicio (ssh en este > caso) ... comentarios/links ???
Desde el punto de vista logico es mucho mas elegante hacerlo con iptables, ya que puedes crear filtros mas especificos, elaborados y potentes. -- #define QUESTION ((2b) || !(2b)) #define SITE http://onlooker.certos.org ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20061019/cde2c542/attachment.html From [EMAIL PROTECTED] Thu Oct 19 14:41:38 2006 From: [EMAIL PROTECTED] (Miguel Angel Amador L) Date: Thu Oct 19 14:41:10 2006 Subject: tcpwrappers In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 10/19/06, Victor Hugo dos Santos <[EMAIL PROTECTED]> wrote: > 2006/10/18, Miguel Angel Amador L <[EMAIL PROTECTED]>: > > iptables -I INPUT -s 0.0.0.0 -p tcp --dport 22 -j REJECT > > iptables -I INPUT -s 172.16.100.110 -p tcp --dport 22 -j ACCEPT > > > > Ejecutalas en ese orden... > > mmmm.. me me viene la duda, de cual es el mejor método tcpwrappers o > iptables para bloquear/autorizar acceso a algún servicio (ssh en este > caso) ... comentarios/links ??? > > salu2 > > -- > -- > Victor Hugo dos Santos > Linux Counter #224399 > > En mi caso prefiero iptables...por motivos: - Es mas flexible de configurar para dar/denegar accesos - Centralizo la administracion al acceso a los diferentes servicios que poseo publicados. - iptables me permite tener mejor control del paquete que va hacia el servicio, aun cuando venga de una IP permitida, pues puedo validar que el paquete este bien compuesto.(no invalido, muy fragmentado, puedo chequear la cantidad de conexiones por espacio de tiempo, etc...) - Ahora si me preguntan en cuanto a rendimiento de maquina.. no lo se, segun entiendo tcpwrappers funciona con servicios que funcionan bajo el amparo de tcpd, netfilter lo hace a nivel de kernel.. por lo que creo estaria una linea antes del servicio, y eso me da mas confianza. Saludos -- Miguel Angel Amador L. [ jokercl at gmail dot com | User #297569 counter.li.org ] $echo 127.0.0.1 elvis >> /etc/hosts $ping elvis elvis alive
