On Tue, 30 Jan 2007, [ISO-8859-1] Horváth Ágoston János wrote: > On 1/30/07, Lajber Zoltan <[EMAIL PROTECTED]> wrote: > > Ugyanis az emlitett mindket modszer (iptables, libwrap) atverheto hamis > > forras ip megadasaval. > > Es ha nem vagyok indiszkret, ezt hogyan vitelezed ki tavolrol?
Mit, a hamis forras cimmel kuldest? Megfeleloen "patkolt" kliens kell hozza, vannak ilyen eszkozok. Persze az sem egyszeru, hogy visszajusson hozzad a valasz, de DoS-hoz ez nem mindig feltetel. Ennek kivedese eleg maceras, te javasolt megtenni. Egyszerubb esetekben erre szolgal a routereken a reverse path filter, es/vagy a tuzfalakon hasonlo celzatu szuresek. Nekem mindig van ilyesmi a tuzfalakon: # spoof protect outside iptables -A FORWARD -i $OUTSIDE -s 0.0.0.0/32 -j DROP iptables -A FORWARD -i $OUTSIDE -s 127.0.0.0/8 -j DROP iptables -A FORWARD -i $OUTSIDE -s 10.0.0.0/8 -j DROP iptables -A FORWARD -i $OUTSIDE -s 172.16.0.0/12 -j DROP iptables -A FORWARD -i $OUTSIDE -s 192.168.0.0/16 -j DROP iptables -A FORWARD -i $OUTSIDE -s $INSIDENET -j LOG_DROP # spoof protect inside iptables -A FORWARD -i $INSIDE -s ! $INSIDENET -j LOG_DROP Az utolso sor nem engem ved, de tolem nem tudnak rosszalkodni masoknal. Es persze nem csak FORWARD-ra, INPUT-ra is kell ez. Udv, -=Lajbi=----------------------------------------------------------------- LAJBER Zoltan Szent Istvan Egyetem, Informatika Hivatal HTH=Hope This Helps, YMMV=Your Mileage May Vary, HAND=Have A Nice Day _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
