[Linux-Biella] Flags TCP
MauroTB
linux@bilug.linux.it
Mon, 28 Oct 2002 08:57:21 +0100
L'ultima regola come specificato nell'articolo ha senso solo se
precedentemente sono state specificate altre regole che fanno accettare i
pacchetti syn,come da articolo:
Quest'ultima, contro gli scan FIN, è sensata solo se è presente anche la
catena conn_state e se viene chiamata per prima.
In qualsiasi caso implementare fw di questo tipo è spstanzialmente
sbagliato.
La regola di default deve essere DROP in INPUT,OUTPUT e FORWARD,dopo si apre
quello che serve.
A questo punti usando il packet inspection non serve più implementare regole
come quelle riportate nell'articolo.
Ciauz
----- Original Message -----
From: "Carlo Festa" <c-festa@libero.it>
To: <linux@bilug.linux.it>
Sent: Sunday, October 27, 2002 10:07 PM
Subject: [Linux-Biella] Flags TCP
>
> Ciao a tutti.
>
> Paranoia della domenica sera...
>
> Cercando esempi vari su iptables sono finito qui:
>
> http://www.valtellinux.it/documenti/pedro/
>
> e, tra le altre cose, sono elencate le seguenti regole:
>
> /sbin/iptables -A tcp_flags -p TCP --tcp-flags ALL FIN,URG,PSH -j DROP
> /sbin/iptables -A tcp_flags -p TCP --tcp-flags ALL ALL -j DROP
> /sbin/iptables -A tcp_flags -p TCP --tcp-flags ALL SYN,RST,ACK,FIN,URG -j
DROP
> /sbin/iptables -A tcp_flags -p TCP --tcp-flags ALL NONE -j DROP
> /sbin/iptables -A tcp_flags -p TCP --tcp-flags SYN,RST SYN,RST -j DROP
> /sbin/iptables -A tcp_flags -p TCP --tcp-flags SYN,FIN SYN,FIN -j DROP
> /sbin/iptables -A tcp_flags -p TCP --tcp-flags FIN FIN -j DROP
>
> (si parla di bloccare scanner vari...)
>
> Il punto è: (per quanto io sia ignorante/incompetente in fatto di flags
tcp!)
> l'ultima elencata che senso ha? Blocca tutti i pacchetti con FIN
impostato!
> Non avrebbe, forse, più senso un controllo tipo ALL FIN (su tutti i flags
solo
> FIN impostato)? Quel che mi crea il dubbio è che se c'è, sto FIN, a
qualcosa
> servirà, no? Perchè segarlo a priori?
>
> Scusate la curiosità...
>
> Buona settimana,
> Carlo
>
> --
>
> _______________________________________________
> Linux mailing list
> Linux@bilug.linux.it
> http://www.bilug.linux.it/mailman/listinfo/linux
>