Re: NEOSTRADA-PLUS :( (
MB Witam.
Przyklady ze zrodla 2.2.20
MB Wiem o:
- wysokie porty 60 000
src/include/net/ip_masq.h
...
#define PORT_MASQ_BEGIN 61000
#define PORT_MASQ_END (PORT_MASQ_BEGIN+4096)
...
zmienic poty na niskie 1024
problem rozwiazany
MB - porty znanych progow typu WinGate (2080)
MB MB
MB - TTL ponoc mozna ustawic na =1 -- wtedy koles jezeli nie wie
to sie nie
MB kapnie tak szybko ze ttl trzeba przestawic (iptables set ttl
:) )
src/include/net/ip.h
...
int ip_decrease_ttl(struct iphdr *iph)
{
u32 check = iph-check;
check += __constant_htons(0x0100);
iph-check = check + ((check=0x) ? 1 : 0);
return --iph-ttl;
}
...
zwrocic do ttl samo iph baz zmniejszania :)
nie wiem czy to bedzie mialo jakis wplyw na funkcjonowanie systemu
przy 2.2.21pre4 nie ma
Ten tema byl juz kiedys poruszany na liscie.
Interesujaca czesc jest na gorze.
Re: mac ...
jesli ktos uwaze sie za zaawansowanego to nie powinien miec z tym problemu. Z tego powodu ja bym zmienil troche konzept. Nie nalezy blokowac poszczgolnych MAC tylko tym MAC ktore sa znane zezwolic na wyjscie. No wiec wlasnie od tego jest plik /etc/ethers Wiazesz na stale MAC i IP poczym ustawiasz ktory ma miec dostep, a ktory nie.
Fw: mac ...
Witjacie, jak zablokowac konkretny adres MAC na firewallu albo jakis inny sposb... na to zeby ktos nie probowal sobie wpisywac recznie adresow IP+ bramki ? Moza skojarzyc na stale IP i MAC, a pozniej zablokowac konkretne IP. Jesli gosiu zmieni sobie IP to i tak nic mu to nie da, bo dla nowego IP nie ma regu³ na firewallu. Je¶li natomiast wpisze sobie IP kogos, kto ma dostêp np. do netu, to w go³e nie zobaczy serwera. ¯eby to wszysko ³adnie chodzi³o trzeba dla ka¿dego IP w twojej sieci (lub przynajmniej dla tych, które maja mieæ dostêp do netu) zdefiniowaæ dopowiadaj±cy mu MAC. Ca³o¶æ musisz zapisaæ w pliku /etc/ethers (postaæ poni¿ej): MACIP Po¼niej wydajesz polecenie arp -f
