The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Чайнику, iptables, что обычно отсекают во входной цепочке?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Чайнику, iptables, что обычно отсекают во входной цепочке?"
Сообщение от serezha Искать по авторуВ закладки on 07-Июн-04, 00:17  (MSK)
Что нужно отфильтровывать во входной цепочке, чтобы проходили только ответные пакеты на запросы машины, не являющейся сервером в интернет? Например, если машина синхронизирует свое системное время, обращаясь к ntp - серверу, то в ответ должны быть пропущены какие-то пакеты. Как в этом случае отсечь все другие приходящие пакеты? Где посмотреть, по какому принципу осуществляется выбор порта, на который следует отвечать, может быть, соответствие диапазонов портов их назначениям, ну или что-то вроде этого, если таковое вообще существует? Существует ли оно? ;)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Чайнику, iptables, что обычно отсекают во входной цепочке?"
Сообщение от Slimm Искать по авторуВ закладки(??) on 07-Июн-04, 00:39  (MSK)
да все это возможно
фильтрация по флажкам tcp пакета
например
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,ACK,FIN SYN -j REJECT
закроет все входящие попытки установить с тобой соединение
при этом твои исходящие пакеты будут ходить нормально

а вообще поройся, здесь есть очень хорошее HOWTO на русском по iptables

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Чайнику, iptables, что обычно отсекают во входной цепочке?"
Сообщение от vitaliy Искать по авторуВ закладки(ok) on 07-Июн-04, 09:33  (MSK)
>Что нужно отфильтровывать во входной цепочке, чтобы проходили только ответные пакеты на
>запросы машины, не являющейся сервером в интернет? Например, если машина синхронизирует
>свое системное время, обращаясь к ntp - серверу, то в ответ
>должны быть пропущены какие-то пакеты. Как в этом случае отсечь все
>другие приходящие пакеты? Где посмотреть, по какому принципу осуществляется выбор порта,
>на который следует отвечать, может быть, соответствие диапазонов портов их назначениям,
>ну или что-то вроде этого, если таковое вообще существует? Существует ли
>оно? ;)

1. По статусу пакета. Можно пропускать все не-SYN пакеты, и только те SYN, которые нужны.
2. Пропускать все пакеты с портов выше 1023.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Чайнику, iptables, что обычно отсекают во входной цепочке?"
Сообщение от Arifolth Искать по авторуВ закладки(ok) on 07-Июн-04, 09:48  (MSK)
>Что нужно отфильтровывать во входной цепочке, чтобы проходили только ответные пакеты на
>запросы машины, не являющейся сервером в интернет? Например, если машина синхронизирует
>свое системное время, обращаясь к ntp - серверу, то в ответ
>должны быть пропущены какие-то пакеты. Как в этом случае отсечь все
>другие приходящие пакеты? Где посмотреть, по какому принципу осуществляется выбор порта,
>на который следует отвечать, может быть, соответствие диапазонов портов их назначениям,
>ну или что-то вроде этого, если таковое вообще существует? Существует ли
>оно? ;)

man iptables
http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html
ещё есть гугл рамлер алявиса и др
все рулят

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Чайнику, iptables, что обычно отсекают во входной цепочке?"
Сообщение от Arifolth Искать по авторуВ закладки(ok) on 07-Июн-04, 09:55  (MSK)
>Что нужно отфильтровывать во входной цепочке, чтобы проходили только ответные пакеты на
>запросы машины, не являющейся сервером в интернет? Например, если машина синхронизирует
>свое системное время, обращаясь к ntp - серверу, то в ответ
>должны быть пропущены какие-то пакеты. Как в этом случае отсечь все
>другие приходящие пакеты? Где посмотреть, по какому принципу осуществляется выбор порта,
>на который следует отвечать, может быть, соответствие диапазонов портов их назначениям,
>ну или что-то вроде этого, если таковое вообще существует? Существует ли
>оно? ;)

ищё посмотри /etc/services
- зачем какой порт в твой конкретной системе нужен

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру