Re, On Mon, Feb 11, 2008 at 06:36:01PM +0100, Gádori Zsolt wrote: > $IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT > $IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT > > parancsok, egyből megszűnt a log áradat. Legalábbis a portokból erre > következtetek, remélem nem lesz meglepetés.
Ok, de ez amit megadtal ez azt mondja, hogy elfogadsz BARMILYEN udp csomagot ha a forrasport 53-as. Tehat en akar (udp) portscannelhetlek is teged, ha forrasportkent 53-at mondok, de nem fogod megallitani. A lenyeg pont az lenne, amit mar irtam, hogy annak ellenere, hogy az udp nem kapcsolatorientalt protokoll nemileg nagyobb biztonsagot ad, ha kihasznalod azt a tenyt, hogy a netfilter kvazi udp-re is kezel NEW/ESTABLISHED allapotot bar nem kozvetlen olyan lepesek alapjan mint a TCP kapcsolatfelvetel stb, persze. Mert ugye kerdes az mi az elsodleges celod, eltuntetni a zavaro "uzeneteket", vagy lehetoleg jol (vagyishat jobban) megcsinalni :) -- - Gábor _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
