Hi!
Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat
és valamit nem értek:
Ez a sor:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Ez azt jelenti, hogy ha mar lat kimeno kapcsolatot, akkor engedje be a
valaszt (RELATED). udp-n nincs ertelmezve az ESTABLISHED.
A lényegen nem változtat, csak kis pontosítás: én úgy emlékszem, hogy a
válasz beengedéséért az ESTABLISHED felel és a RELATED, ami nincs
értelmezve UDP esetén.
A lényeg: egy kapcsolat felépítésekor az első csomag NEW opcióval jön,
ha az nincs beengedve (és ez a szabály nem engedi be), akkor új kapcsolat
nem fog tudni létre jönni, de a már létezőket (valahol valamely másik
szabály beengedte, vagy a kapcsolat a másik irányból (OUTPUT) épült
fel,) nem bántja.
megoldaná az alábbit is és feleslegesen van engedélyezve, vagy
rosszul gondolom?
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
Ez a bejovo dhcp -t engedelyezi.
Ha nincs ez a sor, akkor dhcp klienskent fog mukodni, de nem tud dhcp
szerver lenni.
Ez a konkrét magyarázat. Egyébként meg azt nézd meg, hogy itt mind a
forrás-,
mind a cél port is meg van adva. Tehát nem elég, hogy UDP-n eltalálod a
68-as
portot, de a csomagnak tőled a 67-es portról kell indulnia! Ez azért
bőven nagyobbat
szűr, mint az előző szabály, ahol nincs semmilyen port korlátozás.
Mivel már kezdeményezett kapcsolatokra utal és nekem sima Linux alatt
soha nem volt bajom tűzfallal, ha csak ezt az egyetlen sort
tartalmazta és csak a related és established csomagokat engedtem, UDP
üzenetek is mentek, DNS lekérdezés stb.
Nem jelent kockázatot külön az UDP engedélyezése?
Nem. A portok szűkítése miatt minimális forgalmat engedélyezel, azt meg
engedned
kell ahhoz, hogy a masina DHCP szerver legyen. Illetve ha ezt nem
akarod, akkor
ezt a szabályt kiveheted.
Üdv
Zsolt
_________________________________________________
linux lista - [email protected]
http://mlf.linux.rulez.org/mailman/listinfo/linux