|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 27 Dec 2002 22:57:07
To : Oleg Balychev
Subject : Re: iptables&mac
--------------------------------------------------------------------------------
Oleg Balychev wrote:
> In article <2557ua.be2.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote:
> AB>
> AB> Вопросы по 2-му решению.
> AB> Hасколько серьезна угроза такого обхода файрвола и есть ли
> инструментарий AB> для этого (про nmap можно не повторяться) ?
> AB> И не будет ли достаточным вкатить в начало цепочек INPUT - filter и
> AB> FORWARD - filter правила, блокирующие INVALID, для решения вопроса
> AB> на 99% ?
> Я думаю вполне. Если ivalid будут дропаться, то паразитного трафика
Спасибо. Я уж было подумал, что вопрос останется втуне ;)
> не будет. Хотя даже если он и будет, я не вижу как им
А я и сам не знаю пока. Hо в принципе проблема netfilter как файрвола в том,
что он работает поверх ip-стека. Т.е. независимо от условий, анализируемых
в правила, мак ли то, или уже IP, или даже TCP, или это HTTP заголовки,
правила отрабатывают на полностю дешифрованом пакете. Другими словами, если
я блокирую пакеты с некоторого MAC, то все равно сначала система их примет
полностью и дешифрует в skbuf, а уж потом фильтр их дропнет.
> воспользоваться. А почему на 99?
Hу так я ж параноик ;)
Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
--- ifmail v.2.15dev5
* Origin: homenet (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
