abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 01:00 | Nová verze

Známý šifrovaný komunikátor Signal od verze 3.30.0 již nevyžaduje Google Play Services. Autoři tak po letech vyslyšeli volání komunity, která dala vzniknout Google-free forku LibreSignal (dnes již neudržovaný). Oficiální binárky jsou stále distribuované pouze přes Google Play, ale lze použít neoficiální F-Droid repozitář fdroid.eutopia.cz s nezávislými buildy Signalu nebo oficiální binárku stáhnout z Google Play i bez Google účtu

… více »
xm | Komentářů: 1
včera 23:14 | Nová verze

Po třech týdnech od vydání první RC verze byla vydána první stabilní verze 17.01.0 linuxové distribuce pro routery a vestavěné systémy LEDE (Linux Embedded Development Environment), forku linuxové distribuce OpenWrt. Přehled novinek v poznámkách k vydání. Dotazy v diskusním fóru.

Ladislav Hagara | Komentářů: 2
včera 17:28 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].

Ladislav Hagara | Komentářů: 2
včera 15:00 | Zajímavý software

Společnost Valve vydala novou beta verzi SteamVR. Z novinek lze zdůraznit oficiální podporu Linuxu. Další informace o podpoře této platformy pro vývoj virtuální reality v Linuxu v diskusním fóru. Hlášení chyb na GitHubu.

Ladislav Hagara | Komentářů: 0
včera 06:00 | Nová verze

Po necelém roce od vydání verze 0.67 byla vydána verze 0.68 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
21.2. 21:32 | Nasazení Linuxu

Canonical představuje nejnovější verzi chytré helmy DAQRI s Ubuntu pro rozšířenou realitu. K vidění bude příští týden v Barceloně na veletrhu Mobile World Congress 2017.

Ladislav Hagara | Komentářů: 0
21.2. 21:31 | Pozvánky

Pro zájemce o hlubší znalosti fungování operačních systémů připravila MFF UK nový předmět Pokročilé operační systémy, v rámci něhož se vystřídají přednášející nejen z řad pracovníků fakulty, ale dorazí také odborníci ze společností AVAST, Oracle, Red Hat a SUSE. Tento předmět volně navazuje na kurz Operační systémy ze zimního semestru, ale pokud máte praktické zkušenosti odjinud (například z přispívání do jádra Linuxu) a chcete si

… více »
Martin Děcký | Komentářů: 6
21.2. 21:30 | Pozvánky

Czech JBoss User Group Vás srdečně zve na setkání JBUG v Brně, které se koná ve středu 1. března 2017 v prostorách Fakulty Informatiky Masarykovy Univerzity v místnosti A318 od 18:00. Přednáší Tomáš Remeš a Matěj Novotný na téma CDI 2.0 - New and Noteworthy. Více informací na Facebooku a na Twitteru #jbugcz.

mjedlick | Komentářů: 0
20.2. 23:45 | Zajímavý software

Na blogu Qt bylo představeno Qt 3D Studio. Jedná se o produkt dosud známý pod názvem NVIDIA DRIVE™ Design Studio. NVIDIA jej věnovala Qt. Jedná se o několik set tisíc řádků zdrojového kódu. Qt 3D Studio bude stejně jako Qt k dispozici jak pod open source, tak pod komerční licencí. Ukázka práce s Qt 3D Studiem na YouTube.

Ladislav Hagara | Komentářů: 10
20.2. 17:50 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice slaví 5 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně byla založena ale až 17. února 2012.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (71%)
 (4%)
 (10%)
Celkem 685 hlasů
 Komentářů: 66, poslední včera 18:57
    Rozcestník

    Dotaz: iptables dotaz

    12.9.2010 13:37 masak
    iptables dotaz
    Přečteno: 816×
    Zdravím, chci se naučit něco o iptables, ale narazil jsem hned na problém v jednom z triviálních firewallů, co jsem našel na netu:
    iptables -F
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    
    pokud tohle spustím na noteboku(10.0.0.140), a pinguju jeho adresu z netbooku(10.0.0.141) třeba:
    ping -c 20 10.0.0.140
    propustí mi to uplně všechny icmp pakety... To se mi tak trochu nezdá. Když zakomentuju ten řádek se "--state ESTABLISHED,RELATED atd.", tak to těch icmp paketů propustí opravdu jen 5. Mohl by mi prosím někdo osvětlit, co tedy tenhle řádek přesně dělá. Děkuji.

    Řešení dotazu:


    Odpovědi

    H0ax avatar 12.9.2010 14:03 H0ax | skóre: 36 | blog: Odnikud_nikam
    Rozbalit Rozbalit vše Re: iptables dotaz
    Protože se ti to state pravidlo uplatní první a dál se už vyhodnocení pravidel neprovádí.
    LinuxWay | blog |  LiCo
    rofl.rofl avatar 12.9.2010 14:06 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    to jsem zkoušel, když zaměním řádek 5 za 6, dělá to to samý:)
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    rofl.rofl avatar 12.9.2010 14:50 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Tak mě napadá... nemůže to být tím, že jsou ty počítače na stejný síti v NATu pod routerem? Proto bych právě potřeboval vysvětlit, co přesně dělá ten stavový firewall.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    12.9.2010 19:45 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Je to tak správně, řádek s limitem propustí jen pár paketů, ale "ESTABLISHED,RELATED" propustí všechny (zbylé pakety). Správně byste měl po řádkem s limitem mít ještě jeden řádek, kdy icmp pakety zahodíte...
    -A ALLOW_ICMP -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT
    -A ALLOW_ICMP -p icmp -j DROP
    12.9.2010 19:47 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    -A INPUT (copy&paste...)
    vencour avatar 12.9.2010 19:53 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables dotaz

    Doplnim: jde o to, co autor vlastně chce. Pokud od sebe povolit vše, tak platí, že v OUTPUTu to povolí a pak už to omezit nejde, protože už to je established. Tedy u pingu z venku by to mělo limitovat odpovědi, při jeho uvedeném zadání praviděl.

    Pro bližší orientaci doporučuji shlédnout (např. toto) iptables packet flow.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    rofl.rofl avatar 12.9.2010 21:41 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Aha, takže aby to fungovalo upravil jsem to takhle:
    iptables -F
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT
    iptables -A INPUT -p icmp -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    
    Prvně jsem to totiž pochopil tak, že ten řádek "iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT" povolí těch 5 paketů a zbytek nastaví na DROP, právě proto, že je výchozí politika DROP. Právě proto že co není povoleno, to by mělo být zakázano... nj. Každopadně dík.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    13.9.2010 07:13 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Je to tak, že ten limit vám "vybere" těch pár paketů, a pak s nimi "něco" udělá (jedna z možností je -j ACCEPT, další jsou například -j LOG apod...). Žádný vedlejší efekt jako zahazování to nemá, takže co se stane s ostatními pakety je otázka, pokud je výchozí politika DROP, tak úplně na konci budou zahozeny, POKUD ovšem je mezi tím někde nepovolíte pomocí ESTABLISHED -j ACCEPT, což byl váš případ.
    Řešení 1× (zajdee)
    13.9.2010 16:45 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    Omezovat rychlost příchozích ICMP je úchylárna a nadělá více škody než užitku. Respektive jakékoliv omezení ICMP.

    (Bohužel je škoda že se takové věci povalují na netu a vydávají se za návody.)
    In Ada the typical infinite loop would normally be terminated by detonation.
    14.9.2010 17:25 Luk
    Rozbalit Rozbalit vše Re: iptables dotaz
    A co je na tom uchylnyho?
    14.9.2010 18:34 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    ICMP řídí provoz IP. Přebytek ICMP vám neuškodí, nedostatek ano. Viz např. man iptables (hledejte slovo braindead). Pokud nastavíte limit jak je uveden v příkladu tak mi bude stačit vás odněkud pingat a už žádnou ICMP neobdržíte. Spojení se budou rozpadat a timeoutovat. Vyhodí vás za to z práce. Opustí vás pes. Budete smutný a začnete žrát hodně čokolády. Zkazí se vám zuby. Takže neomezujte ICMP pokud nechcete trpět u zubaře.
    In Ada the typical infinite loop would normally be terminated by detonation.
    Heron avatar 14.9.2010 18:38 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    +1

    :-D
    rofl.rofl avatar 14.9.2010 19:49 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Tu minutu jsem tam dal jen pro účely testování, aby bylo každé echo pěkně vidět:) V originále byla tuším 1/s. Btw. To omezení dělali kvůli "Ping off Death"...
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    14.9.2010 20:44 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    V originále byla tuším 1/s.

    Jako by na tom záleželo.
    To omezení dělali kvůli "Ping off Death"...

    A co to je?
    In Ada the typical infinite loop would normally be terminated by detonation.
    rofl.rofl avatar 14.9.2010 22:05 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    A co to je?
    s iptables i o TCP/IP se to teprv učím, to se mě moc ptáš;-)
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    15.9.2010 08:21 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Tak tady se můžete naučit to nejdůležitější pravidlo pro stavbu firewallu: nikdy nenastavujte věci, o kterých docela dobře nevíte, co a proč dělají. Když si do firewallu jen tak přidáte pravidlo, které jste našel někde na internetu, nejpravděpodobnější je, že vás stejně úplně neochrání před tím, před čím jste si myslel, že by mělo chránit; a zároveň vám zablokuje nějakou komunikaci, kterou jste blokovat nechtěl. Případně, jako v tomto případě, neochrání vůbec před ničím a jenom zablokuje důležitou komunikaci.
    rofl.rofl avatar 15.9.2010 09:42 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Samozřejmě, už na záčátku jsem psal, že se s tím teprve učím, a určitě nehodlám nikde nic nasazovat:) Pochybuju že by tu všichní uměli nastavit firewall jen po přečtení man.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    houska avatar 15.9.2010 08:28 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: iptables dotaz
    15.9.2010 08:51 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Možná by bylo dobré, kdyby se všichni, kdo tady pro informace o Ping of death vtipně odkazují na Google, ten Google použili sami, a zkusili to, co zjistí, porovnat s kalendářem.

    Takže já se tedy klidně přidám k těm neználkům – čím je Ping of deatch v roce 2010 na Linuxu nebezpečný?
    15.9.2010 09:29 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Osobně jsem také myslel, že proti Ping of Death (jumbo pakety) jsou systémy již léta odolné, ale asi to není tak úplně pravda a nějaký zranitelný driver se najde i v těchto moderních, lepších časech (#529137).

    O odolnosti proti ping floodu (mnoho paketů/DDoS) jsem nic neslyšel, vyzkoušet to také nemohu (nemám dostatečný botnet a dostatečně pomalou linku používám jen zřídka), takže firewall zatím nechávám nastavený tak, jak je, ničemu to nevadí (opravdu jen málo lidí má legitimní důvod mne pingat tisíci pakety nadměrných rozměrů :D).
    15.9.2010 10:03 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ping flood je jen podmnožina DDoS útoků, a podle mne nemá moc smysl řešit zrovna ping flood a ostatní možnosti ignorovat. Navíc pokud už vám někdo zahltí linku příchozí komunikací, na cílovém počítači už toho mnoho nezachráníte.
    15.9.2010 10:54 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Podle mne také nemá smysl řešit jen ping flood a ostatní možnosti ignorovat. Myslím že má smysl řešit ping flood a ostatní možnosti.

    Vtip toho útoku spočíval mimo jiné v tom, že linku zahlcovala i odchozí komunikace (atakovaný počítač), protože na ping se překvapivě reaguje pongem. Což je právě důvod, proč se nadbytečné pakety zahazují. V horším případě ještě byla podvržena zdrojová IP na nějaký broadcast, díky čemuž atakovaný počítač odstavil třeba vlastní intranet.

    Osobně na pocity že něco nemá smysl řešit v oblasti bezpečnosti moc nedám, takže podporuji přístup že omezovat icmp lze, ovšem dostatečně sotisfikovaně tak, aby tím nebyl omezen řádný provoz, který zpravidla různé nevalidní icmp pakety či pakety s podvrženou adresou nepotřebuje, a asi nikdo mne nepřesvědčí o tom, že jsou potřeba.
    15.9.2010 11:23 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Způsobů,jak donutit atakovaný počítač zahltit i odchozí komunikaci, je spousta. Pokud chci řešit útok na kapacitu linky, měl bych řešit všechny možnosti, ne jen jedno náhodně opsané pravidlo z internetu. Omezovat icmp samozřejmě lze, měl bych ale vědět, co a proč dělám. Než mít v iptables nějaké pravidlo „viděl jsem to někde na internetu“, je lepší nemít ho tam vůbec. Takže pokud si někdo do firewallu dá pravidlo údajně proti Ping of death, měl by také umět odpovědět na otázku, co to Ping of death je a jak mu proti tomu to pravidlo pomůže.
    rofl.rofl avatar 15.9.2010 11:56 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ano, tak odteď budeme rozlišovat dva druhy lidí. Jedni, kteří když si koupí novou ledničku, tak musí pořádně prostudovat návod kvůli tomu, aby zjistili jak správně u ní otevřít dveře, a co vůbec taková lednička dělá. A ti druzí, kteří ji prostě vrazí do zásuvky použivají, a pokud chtějí podrobnosti, přečtou si návod později. Opravdu nevím, co vám vadí na tom, že patřím k té druhé skupině a asi to ani nikdy nepochopím.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    15.9.2010 12:26 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ty dva tábory jste docela trefil, osobně patřím také k té druhé skupině (po zakoupení studuji návod, ale lednička už mezi tím běží a chladí, kupodivu málokterá sežere kočku či exploduje). Stejně tak základ pro firewall jsem si zkopíroval z důvěryhodného zdroje a dolaďoval postupně.

    Lidé kteří staví raketoplány to zase mohou vidět jinak, vždy je dobré k věci přistupovat úměrně riziku ztráty a hodnotě toho, co můžeme ztratit.

    Myslím že jste každopádně na dobré cestě a hlavně neberte všechny posty ať moje nebo kolegů moc osobně ;-) kolikrát se diskuze stočí do velmi obecné roviny, kde je nutno se pohybovat opatrně, protože se střílí obecnými argumenty s velkým rozptylem.
    Heron avatar 15.9.2010 13:09 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    :-(

    Jestli srovnáváte ledničku a firewall, tak se asi půjdu omluvit vedle do diskuse, kde někdo chtěl dávat 10A spínač do obvodu jištěný 15A pojistkou a z tohoto fóra nadobro odejdu někam, kde lidé ctí normy a nějaká pravidla.

    Lednička je určena pro provoz laikem (a navíc je to zařízení, které každý důvěrně zná), stejně jako např. webový prohlížeč. Firewall vyžaduje slušné znalosti sítě úplně stejně jako zásah do obvodu vyžaduje odpovídající elektrotechnické vzdělání a znalost norem.

    To srovnání s ledničkou je zcela mimo mísu.
    15.9.2010 13:14 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ale princip zprovoznění byl natolik zobecněn, že to pochopí i blbec a dokáže by dva tábory lidí odlišit. Pak je bohužel ještě třetí skupina lidí, kteří to vemou doslova :(
    Heron avatar 15.9.2010 13:35 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Myslíš ty zastaralé návody plné chyb?
    15.9.2010 13:47 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ne, myslel jsem tu ledničku ;) Už vidím ty debaty o ledničkách...
    15.9.2010 13:36 Luk
    Rozbalit Rozbalit vše Re: iptables dotaz
    Jak jsem řekl, některé věci prostě nikdy nepochopím, sorry...
    15.9.2010 13:41 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Mně nevadí, že patříte ke druhé skupině. Jenom se vám celou dobu snažím vysvětlit, že firewall takhle používat nejde. Firewall nastavený tak, abyste jej mohl používat bez návodu už máte od instalace Linuxu – je to vypnutý firewall. Přirovnání k ledničce se vám totiž moc nepovedlo, protože vy už víte, jak se s ledničkou zachází a k čemu má sloužit. Když chcete používání ledničky přirovnat k zacházení neznalého správce s firewallem, představte si, že se někdo pokouší metodou pokus omyl zjistit, k čemu se lednička používá. Nejdřív tam zkusí něco ohřát a bude se divit, že to má studené. Pak nechá otevřené dveře od lednice, protože mu bude připadat zbytečné je zavírat. A nakonec zjistí, že jediné, co to spolehlivě dělá, je to, že při otevřených dveřích svítí – a bude ledničku používat jako osvětlení.
    15.9.2010 13:52 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Nechápu proč obecné debaty o spotřebičích a neznalých uživatelích motáte ke konkrétní situaci, kdy tu máme tazatele, který se o firewall aktivně zajímá, a ví, k čemu se používá, a také ví, co od něj chce, akorát mu to vinou zastaralému návodu přesně nefungovalo :(
    15.9.2010 13:59 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Protože na tom konkrétním příkladu je vidět, že ta obecná debata je úplně mimo realitu. Protože tu porovnáváte neznalého uživatele, který neví, k čemu je firewall, jak se používá a funguje, s uživatelem, který ví, k čemu je lednička, jak se používá a aspoň základní princip, jak funguje (že uvnitř je chlad).
    Heron avatar 15.9.2010 14:15 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Nejdřív tam zkusí něco ohřát a bude se divit, že to má studené.

    Pokud to postaví na kondenzátor dozadu, tak se mu to ohřeje :-D. Takže bude mít ohřívací lampu vlastně.

    14.9.2010 21:29 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    V ostrém provozu se to samozřejmě musí nastavit nějak inteligentně, jednak mírnější limit, za druhé rozlišovat --icmp-type 0, 3, 8, 11 apod. Mírné omezení počtu pingů neuškodí, lepší než řešit následky icmp floodu. Samozřejmě v ideálním světě bych je taky neomezoval :)
    15.9.2010 00:29 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Já jsem měl ve firewallu "/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT"

    Prostě omezovat pouze typ od kterého může hrozit nebezpečí.
    15.9.2010 06:24 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    Prostě omezovat pouze typ od kterého může hrozit nebezpečí.

    Jaké nebezpečí?
    In Ada the typical infinite loop would normally be terminated by detonation.
    rofl.rofl avatar 15.9.2010 10:00 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    jestli myslíte tohle? Tak ten firewall máte stejně blbě, jako jsem měl já... akorát jste na to ještě nepřišel.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    Heron avatar 15.9.2010 10:12 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    10.10.2004

    Nejsem si jist, od kdy funguje connection tracking pro ICMP, každopádně ten článek je 6 let starý. Nebudeme na sebe vytahovat žákovskou a mlátit se po hlavě za chyby v první třídě, že ne?

    15.9.2010 10:24 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Jasně že je to staré, dnes firewall moc nepoužívám - prostě není co filtrovat když mi na PC nic neběží....

    PS. Samozřejmě v tom příkladu je ta stejná chybička jako udělal uživatel zde.
    Heron avatar 15.9.2010 10:36 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    To si právě nejsem jistý. Ten článek je o přechodu z ipchain na iptables a nějakých pravidlech. A je otázkou, jestli v té době na tak starém systému (během pár minut jsem to nikde nenašel) fungoval connection tracking pro ICMP. Pokud ne, tak tam ta chyba není.
    15.9.2010 10:43 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Psal jsem to já, a používal tehdá na vytáčeném spojení.

    Jestli to fungovalo nebo ne už dnes nezjistím.
    15.9.2010 06:24 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    následky icmp floodu
    Jaké následky?
    In Ada the typical infinite loop would normally be terminated by detonation.
    15.9.2010 07:18 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    UTFG
    Heron avatar 15.9.2010 09:57 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Možná místo stupidních zkratek by bylo záhodno popsat jaké reálné následky v roce 2010 hrozí, pokud se to či ono povolí a udělá se útok.

    Opravdu nemá smysl do FW (zvláště pro začátečníka) cpát věci, které byly možné v roce 1997 (a na tehdejších linkách), protože mu ten skript zbytečně zkomplikují a daný FW tak možná pustí něco mnohem závažnějšího a nebo nepustí užitečný provoz.
    15.9.2010 10:14 Luk
    Rozbalit Rozbalit vše Re: iptables dotaz
    Nejlepší věc, jak se něco nauči(alespon pro mě), je se v tom prostě "šťourat". Takhle bych mohl být začátečník celý život ;-)
    15.9.2010 10:14 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Jenomže ta stupidní zkratka znamená Use The Friendly Google, a pokud byste to udělal, zjistil byste, že jedním z možných následků je i v roce 2010 restart systému.

    Možná máte patent na rozum a tedy víte, co je a co není pro začátečníka, který si hraje s iptables a zkouší nastavit to a ono vhodné, ale při troše pokory která by vám neškodila připusťte, že chybami se člověk učí, a pokud se tazatel dnes naučil to, že --limit nezahazuje pakety, a díky pěknému limitu 1/minutu to i na vlastní oči viděl, pak to je dobře a může se mu to časem v praxi hodit.

    Na lidi jako jako pht, kteří na informaci od začátečníka že něco četl o "Ping of Death" ragují "a co to je?" nemíním plýtvat víc, než jen tou zkratkou, protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovat, protože poslední známá zranitelnost je z loňska a je nepravděpodobné, že by postihla zrovna vás.", a pokud je to zároveň člověk sečtělý a není líný hledat, uvede in nějaké odkazy na zdroje, které jeho tvrzení podpoří.

    Zatím to ovšem spíš vypadá, že se tu všichni vyspali špatně, takže pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit má, a uvede zdroje místo hraní si na nechápavého a dělání, že o zranitelnosti přes icmp v životě neslyšel a je to asi něco z říše pohádek.
    vencour avatar 15.9.2010 11:19 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables dotaz

    Jeden link ke kovářovi přímo na konkrétní téma. Navíc v tamní KB toho lze najít dost ;-)

    Ať se tu nemele prázdná sláma.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    15.9.2010 11:40 moo
    Rozbalit Rozbalit vše Re: iptables dotaz
    to bolo na "Ping off Death"
    15.9.2010 15:04 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovat
    Jelikož jsem napsal toto v naší diskusi již 2x, tak jsem zřejmě inteligentní a dobře vyspaný. Uf, to jsem si oddechl.

    Vážně. Pokud bych si nemyslel že ICMP není třeba omezovat, tak bych nenapsal "ICMP není třeba omezovat".

    Pokud mi někdo na to napíše "ale je, kvůli útoku X" tak se přirozeně zajímám "co je to útok X a proč bych měl kvůli tomu omezovat ICMP".

    A pokud mi někdo odpoví "najdi si to na netu" tak si pomyslím že ten člověk neví.

    Takže to vypadá že všichni ví že "ping of death je něco hroznýho - omg! musíme s tím něco dělat, co třeba omezit ICMP" ale nikdo neví co to ve skutečnosti je. Co se třeba zeptat?
    pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit má
    Jo aha takže jste se přece jen "zeptal".

    Tak např. proto, že PoD má co dělat s velikostí paketu ale nic s frekvencí.

    A obecně např. proto, že nemá smysl chránit děravý IP stack firewallem postaveným na tomtéž IP stacku.

    A u ping flood vám nepomůže omezovat něco co k vám stejně přes úzkou linku už dorazilo. A protože vás můžu zahltit zrovna tak TCP paketama.

    A dále protože všechny tyhle kraviny jsou zabezpečeny defaultně, takže se nemusí nově koupený počítač dodatečně zabezpečovat dvaceti nastaveníma sehnanýma kdovíkde na internetu.
    In Ada the typical infinite loop would normally be terminated by detonation.
    rofl.rofl avatar 15.9.2010 13:54 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Děkuji všem za rady, problém považuji za vyřešený... myslím že další diskuze mimo téma je zbytečná...
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    15.9.2010 23:59 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    A nezapomeň že lednička chladí a zavírají se u ní dveře :-)

    PS. Trocha srandy nevadí.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.