On Wednesday 09 March 2005 19:23, Adrian C. wrote: > Mnu, uite, incearca tu cele 2 linii de mai sus (multiport) sa vezi ca > iti tai craca pe orice port, apoi incearca-le pe astea 3 fara > multiport. Astea merg pentru ca DROP-ul ala actioneaza doar pe TCP > dar ALTCEVA decat port 25 si 110. Daca le gandesti stateful deja e > alta treaba.
Ma, tu cate firewall-uri, care sa-ti functioneze din prima, fara sa-ti tai creaca ai facut? Citez: prima data: >Mai simplut merge asa: >iptables -A INPUT -p tcp -m multiport -dports 25,110 -j ACCEPT >iptables -A INPUT -p tcp -j DROP Adica, vine pachetul, daca are dport 25 SAU 110, merge pe ACCEPT, deci intra Daca nu are dport 25 SAU 110, FACE DROP, ORICARE PACHET AR FI EL a doua oara: >Asa: >iptables -A INPUT -p tcp --dport 25 -j ACCEPT >iptables -A INPUT -p tcp --dport 110 -j ACCEPT >iptables -A INPUT -p tcp -j DROP Vine pachetul, daca are dport 25 atunci ACCEPT Daca nu, daca are dport 110 atunci ACCEPT Daca nu are dport 25 sau 110 (nu intra in primele reguli) FACE DROP, ORICARE PACHET AR FI EL. UNDE VEZI TU DIFERENTA intre cele doua implementari (in afara ca sunt 3 reguli in loc de 2)??? IN AMBELE cazuri, daca pachetul NU are dport 25 SAU 100, SE DUCE DRACU LA GUNOI, nu mai ajunge la aplicatii! ALTFEL stau lucrurile cu --syn! In cazul tau, daca tu faci telnet spre o alta masina, pachetul pleaca de la tine (in output nu ai reguli) dar raspunsul la SYN ajunge LA GUNOI! NU MAI AJUNGE SPRE APLICATIA TA!. De aia am pus cu --syn, ca sa faca reject doar la pachetele initiatoare de conexiune (SYN), nu te mai intereseaza restul, daca vrei sa blochezi restul porturilor pentru comunicatie! -- Claudiu Cismaru --- Detalii despre listele noastre de mail: http://www.lug.ro/
