|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Artem Chuprina 2:5020/400 07 Mar 2004 17:55:58
To : Victor Zvodin
Subject : Re: Кстати о iptables.
--------------------------------------------------------------------------------
Victor Zvodin -> All @ Sun, 07 Mar 2004 15:13:54 +0300:
VZ> Во-первых, необходимо обеспечить неответ на пинг и невидимость
VZ> закрытых портов. Для этого я поставил icmp-host-unreachable в
VZ> ответ на echo request и icmp-port-unreachable в ответ на входящие
VZ> udp и tcp пакеты (для tcp - только инвалидные и открывающие новые
VZ> соединения). Вопрос: не перебрал ли я лишнегоH ;-)
Думаю, что перебрал. Во втором случае логичнее сделать DROP - в среднем
трафик будет меньше, и канал зафлудить будет сложнее. Кроме того, надо
отследить, чтобы ходили те ICMP-пакеты, которые отвечают за path MTU
discovery в TCP. Hа память я, естественно, не скажу, который тип.
Ходить в обе стороны.
VZ> Во-вторых, nat. В таблицу nat пакет попадает после цепи FORWARD или
VZ> вместоH
Hе вместо - точно. До или после - зависит от того, PRE- или POSTROUTING
:-) Кажется. Точно, опять же, уже не помню, мне было проще включить
лог и два раза ткнуться, чтобы вписать в FORWARD правильный адрес.
VZ> И вообще, политики встроенных цепей применяются до или
VZ> после прохождения пакета по правилам цепиH
После, естественно. Если пакет прошел всю цепь. Правила ACCEPT, DROP,
REJECT пакет из цепи вынимают, а LOG, например, оставляет.
--
Artem Chuprina
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757
--- ifmail v.2.15dev5.3
* Origin: Leninsky 45 home network (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Кстати о iptables. 
