abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 1
včera 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
včera 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 4
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
5.12. 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 50
5.12. 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 795 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: iptables dotaz

12.9.2010 13:37 masak
iptables dotaz
Přečteno: 811×
Zdravím, chci se naučit něco o iptables, ale narazil jsem hned na problém v jednom z triviálních firewallů, co jsem našel na netu:
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
pokud tohle spustím na noteboku(10.0.0.140), a pinguju jeho adresu z netbooku(10.0.0.141) třeba:
ping -c 20 10.0.0.140
propustí mi to uplně všechny icmp pakety... To se mi tak trochu nezdá. Když zakomentuju ten řádek se "--state ESTABLISHED,RELATED atd.", tak to těch icmp paketů propustí opravdu jen 5. Mohl by mi prosím někdo osvětlit, co tedy tenhle řádek přesně dělá. Děkuji.

Řešení dotazu:


Odpovědi

H0ax avatar 12.9.2010 14:03 H0ax | skóre: 36 | blog: Odnikud_nikam
Rozbalit Rozbalit vše Re: iptables dotaz
Protože se ti to state pravidlo uplatní první a dál se už vyhodnocení pravidel neprovádí.
LinuxWay | blog |  LiCo
rofl.rofl avatar 12.9.2010 14:06 rofl.rofl | skóre: 10
Rozbalit Rozbalit vše Re: iptables dotaz
to jsem zkoušel, když zaměním řádek 5 za 6, dělá to to samý:)
Mozek je aparát, jehož pomocí si myslíme, že myslíme.
rofl.rofl avatar 12.9.2010 14:50 rofl.rofl | skóre: 10
Rozbalit Rozbalit vše Re: iptables dotaz
Tak mě napadá... nemůže to být tím, že jsou ty počítače na stejný síti v NATu pod routerem? Proto bych právě potřeboval vysvětlit, co přesně dělá ten stavový firewall.
Mozek je aparát, jehož pomocí si myslíme, že myslíme.
12.9.2010 19:45 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
Je to tak správně, řádek s limitem propustí jen pár paketů, ale "ESTABLISHED,RELATED" propustí všechny (zbylé pakety). Správně byste měl po řádkem s limitem mít ještě jeden řádek, kdy icmp pakety zahodíte...
-A ALLOW_ICMP -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT
-A ALLOW_ICMP -p icmp -j DROP
12.9.2010 19:47 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
-A INPUT (copy&paste...)
vencour avatar 12.9.2010 19:53 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: iptables dotaz

Doplnim: jde o to, co autor vlastně chce. Pokud od sebe povolit vše, tak platí, že v OUTPUTu to povolí a pak už to omezit nejde, protože už to je established. Tedy u pingu z venku by to mělo limitovat odpovědi, při jeho uvedeném zadání praviděl.

Pro bližší orientaci doporučuji shlédnout (např. toto) iptables packet flow.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
rofl.rofl avatar 12.9.2010 21:41 rofl.rofl | skóre: 10
Rozbalit Rozbalit vše Re: iptables dotaz
Aha, takže aby to fungovalo upravil jsem to takhle:
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
Prvně jsem to totiž pochopil tak, že ten řádek "iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT" povolí těch 5 paketů a zbytek nastaví na DROP, právě proto, že je výchozí politika DROP. Právě proto že co není povoleno, to by mělo být zakázano... nj. Každopadně dík.
Mozek je aparát, jehož pomocí si myslíme, že myslíme.
13.9.2010 07:13 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
Je to tak, že ten limit vám "vybere" těch pár paketů, a pak s nimi "něco" udělá (jedna z možností je -j ACCEPT, další jsou například -j LOG apod...). Žádný vedlejší efekt jako zahazování to nemá, takže co se stane s ostatními pakety je otázka, pokud je výchozí politika DROP, tak úplně na konci budou zahozeny, POKUD ovšem je mezi tím někde nepovolíte pomocí ESTABLISHED -j ACCEPT, což byl váš případ.
Řešení 1× (zajdee)
13.9.2010 16:45 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: iptables dotaz
Omezovat rychlost příchozích ICMP je úchylárna a nadělá více škody než užitku. Respektive jakékoliv omezení ICMP.

(Bohužel je škoda že se takové věci povalují na netu a vydávají se za návody.)
In Ada the typical infinite loop would normally be terminated by detonation.
14.9.2010 17:25 Luk
Rozbalit Rozbalit vše Re: iptables dotaz
A co je na tom uchylnyho?
14.9.2010 18:34 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: iptables dotaz
ICMP řídí provoz IP. Přebytek ICMP vám neuškodí, nedostatek ano. Viz např. man iptables (hledejte slovo braindead). Pokud nastavíte limit jak je uveden v příkladu tak mi bude stačit vás odněkud pingat a už žádnou ICMP neobdržíte. Spojení se budou rozpadat a timeoutovat. Vyhodí vás za to z práce. Opustí vás pes. Budete smutný a začnete žrát hodně čokolády. Zkazí se vám zuby. Takže neomezujte ICMP pokud nechcete trpět u zubaře.
In Ada the typical infinite loop would normally be terminated by detonation.
Heron avatar 14.9.2010 18:38 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
+1

:-D
rofl.rofl avatar 14.9.2010 19:49 rofl.rofl | skóre: 10
Rozbalit Rozbalit vše Re: iptables dotaz
Tu minutu jsem tam dal jen pro účely testování, aby bylo každé echo pěkně vidět:) V originále byla tuším 1/s. Btw. To omezení dělali kvůli "Ping off Death"...
Mozek je aparát, jehož pomocí si myslíme, že myslíme.
14.9.2010 20:44 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: iptables dotaz
V originále byla tuším 1/s.

Jako by na tom záleželo.
To omezení dělali kvůli "Ping off Death"...

A co to je?
In Ada the typical infinite loop would normally be terminated by detonation.
rofl.rofl avatar 14.9.2010 22:05 rofl.rofl | skóre: 10
Rozbalit Rozbalit vše Re: iptables dotaz
A co to je?
s iptables i o TCP/IP se to teprv učím, to se mě moc ptáš;-)
Mozek je aparát, jehož pomocí si myslíme, že myslíme.
15.9.2010 08:21 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables dotaz
Tak tady se můžete naučit to nejdůležitější pravidlo pro stavbu firewallu: nikdy nenastavujte věci, o kterých docela dobře nevíte, co a proč dělají. Když si do firewallu jen tak přidáte pravidlo, které jste našel někde na internetu, nejpravděpodobnější je, že vás stejně úplně neochrání před tím, před čím jste si myslel, že by mělo chránit; a zároveň vám zablokuje nějakou komunikaci, kterou jste blokovat nechtěl. Případně, jako v tomto případě, neochrání vůbec před ničím a jenom zablokuje důležitou komunikaci.
rofl.rofl avatar 15.9.2010 09:42 rofl.rofl | skóre: 10
Rozbalit Rozbalit vše Re: iptables dotaz
Samozřejmě, už na záčátku jsem psal, že se s tím teprve učím, a určitě nehodlám nikde nic nasazovat:) Pochybuju že by tu všichní uměli nastavit firewall jen po přečtení man.
Mozek je aparát, jehož pomocí si myslíme, že myslíme.
houska avatar 15.9.2010 08:28 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: iptables dotaz
15.9.2010 08:51 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables dotaz
Možná by bylo dobré, kdyby se všichni, kdo tady pro informace o Ping of death vtipně odkazují na Google, ten Google použili sami, a zkusili to, co zjistí, porovnat s kalendářem.

Takže já se tedy klidně přidám k těm neználkům – čím je Ping of deatch v roce 2010 na Linuxu nebezpečný?
15.9.2010 09:29 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
Osobně jsem také myslel, že proti Ping of Death (jumbo pakety) jsou systémy již léta odolné, ale asi to není tak úplně pravda a nějaký zranitelný driver se najde i v těchto moderních, lepších časech (#529137).

O odolnosti proti ping floodu (mnoho paketů/DDoS) jsem nic neslyšel, vyzkoušet to také nemohu (nemám dostatečný botnet a dostatečně pomalou linku používám jen zřídka), takže firewall zatím nechávám nastavený tak, jak je, ničemu to nevadí (opravdu jen málo lidí má legitimní důvod mne pingat tisíci pakety nadměrných rozměrů :D).
15.9.2010 10:03 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables dotaz
Ping flood je jen podmnožina DDoS útoků, a podle mne nemá moc smysl řešit zrovna ping flood a ostatní možnosti ignorovat. Navíc pokud už vám někdo zahltí linku příchozí komunikací, na cílovém počítači už toho mnoho nezachráníte.
15.9.2010 10:54 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
Podle mne také nemá smysl řešit jen ping flood a ostatní možnosti ignorovat. Myslím že má smysl řešit ping flood a ostatní možnosti.

Vtip toho útoku spočíval mimo jiné v tom, že linku zahlcovala i odchozí komunikace (atakovaný počítač), protože na ping se překvapivě reaguje pongem. Což je právě důvod, proč se nadbytečné pakety zahazují. V horším případě ještě byla podvržena zdrojová IP na nějaký broadcast, díky čemuž atakovaný počítač odstavil třeba vlastní intranet.

Osobně na pocity že něco nemá smysl řešit v oblasti bezpečnosti moc nedám, takže podporuji přístup že omezovat icmp lze, ovšem dostatečně sotisfikovaně tak, aby tím nebyl omezen řádný provoz, který zpravidla různé nevalidní icmp pakety či pakety s podvrženou adresou nepotřebuje, a asi nikdo mne nepřesvědčí o tom, že jsou potřeba.
15.9.2010 11:23 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables dotaz
Způsobů,jak donutit atakovaný počítač zahltit i odchozí komunikaci, je spousta. Pokud chci řešit útok na kapacitu linky, měl bych řešit všechny možnosti, ne jen jedno náhodně opsané pravidlo z internetu. Omezovat icmp samozřejmě lze, měl bych ale vědět, co a proč dělám. Než mít v iptables nějaké pravidlo „viděl jsem to někde na internetu“, je lepší nemít ho tam vůbec. Takže pokud si někdo do firewallu dá pravidlo údajně proti Ping of death, měl by také umět odpovědět na otázku, co to Ping of death je a jak mu proti tomu to pravidlo pomůže.
rofl.rofl avatar 15.9.2010 11:56 rofl.rofl | skóre: 10
Rozbalit Rozbalit vše Re: iptables dotaz
Ano, tak odteď budeme rozlišovat dva druhy lidí. Jedni, kteří když si koupí novou ledničku, tak musí pořádně prostudovat návod kvůli tomu, aby zjistili jak správně u ní otevřít dveře, a co vůbec taková lednička dělá. A ti druzí, kteří ji prostě vrazí do zásuvky použivají, a pokud chtějí podrobnosti, přečtou si návod později. Opravdu nevím, co vám vadí na tom, že patřím k té druhé skupině a asi to ani nikdy nepochopím.
Mozek je aparát, jehož pomocí si myslíme, že myslíme.
15.9.2010 12:26 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
Ty dva tábory jste docela trefil, osobně patřím také k té druhé skupině (po zakoupení studuji návod, ale lednička už mezi tím běží a chladí, kupodivu málokterá sežere kočku či exploduje). Stejně tak základ pro firewall jsem si zkopíroval z důvěryhodného zdroje a dolaďoval postupně.

Lidé kteří staví raketoplány to zase mohou vidět jinak, vždy je dobré k věci přistupovat úměrně riziku ztráty a hodnotě toho, co můžeme ztratit.

Myslím že jste každopádně na dobré cestě a hlavně neberte všechny posty ať moje nebo kolegů moc osobně ;-) kolikrát se diskuze stočí do velmi obecné roviny, kde je nutno se pohybovat opatrně, protože se střílí obecnými argumenty s velkým rozptylem.
Heron avatar 15.9.2010 13:09 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
:-(

Jestli srovnáváte ledničku a firewall, tak se asi půjdu omluvit vedle do diskuse, kde někdo chtěl dávat 10A spínač do obvodu jištěný 15A pojistkou a z tohoto fóra nadobro odejdu někam, kde lidé ctí normy a nějaká pravidla.

Lednička je určena pro provoz laikem (a navíc je to zařízení, které každý důvěrně zná), stejně jako např. webový prohlížeč. Firewall vyžaduje slušné znalosti sítě úplně stejně jako zásah do obvodu vyžaduje odpovídající elektrotechnické vzdělání a znalost norem.

To srovnání s ledničkou je zcela mimo mísu.
15.9.2010 13:14 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
Ale princip zprovoznění byl natolik zobecněn, že to pochopí i blbec a dokáže by dva tábory lidí odlišit. Pak je bohužel ještě třetí skupina lidí, kteří to vemou doslova :(
Heron avatar 15.9.2010 13:35 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
Myslíš ty zastaralé návody plné chyb?
15.9.2010 13:47 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
Ne, myslel jsem tu ledničku ;) Už vidím ty debaty o ledničkách...
15.9.2010 13:36 Luk
Rozbalit Rozbalit vše Re: iptables dotaz
Jak jsem řekl, některé věci prostě nikdy nepochopím, sorry...
15.9.2010 13:41 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables dotaz
Mně nevadí, že patříte ke druhé skupině. Jenom se vám celou dobu snažím vysvětlit, že firewall takhle používat nejde. Firewall nastavený tak, abyste jej mohl používat bez návodu už máte od instalace Linuxu – je to vypnutý firewall. Přirovnání k ledničce se vám totiž moc nepovedlo, protože vy už víte, jak se s ledničkou zachází a k čemu má sloužit. Když chcete používání ledničky přirovnat k zacházení neznalého správce s firewallem, představte si, že se někdo pokouší metodou pokus omyl zjistit, k čemu se lednička používá. Nejdřív tam zkusí něco ohřát a bude se divit, že to má studené. Pak nechá otevřené dveře od lednice, protože mu bude připadat zbytečné je zavírat. A nakonec zjistí, že jediné, co to spolehlivě dělá, je to, že při otevřených dveřích svítí – a bude ledničku používat jako osvětlení.
15.9.2010 13:52 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
Nechápu proč obecné debaty o spotřebičích a neznalých uživatelích motáte ke konkrétní situaci, kdy tu máme tazatele, který se o firewall aktivně zajímá, a ví, k čemu se používá, a také ví, co od něj chce, akorát mu to vinou zastaralému návodu přesně nefungovalo :(
15.9.2010 13:59 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables dotaz
Protože na tom konkrétním příkladu je vidět, že ta obecná debata je úplně mimo realitu. Protože tu porovnáváte neznalého uživatele, který neví, k čemu je firewall, jak se používá a funguje, s uživatelem, který ví, k čemu je lednička, jak se používá a aspoň základní princip, jak funguje (že uvnitř je chlad).
Heron avatar 15.9.2010 14:15 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
Nejdřív tam zkusí něco ohřát a bude se divit, že to má studené.

Pokud to postaví na kondenzátor dozadu, tak se mu to ohřeje :-D. Takže bude mít ohřívací lampu vlastně.

14.9.2010 21:29 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
V ostrém provozu se to samozřejmě musí nastavit nějak inteligentně, jednak mírnější limit, za druhé rozlišovat --icmp-type 0, 3, 8, 11 apod. Mírné omezení počtu pingů neuškodí, lepší než řešit následky icmp floodu. Samozřejmě v ideálním světě bych je taky neomezoval :)
15.9.2010 00:29 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
Já jsem měl ve firewallu "/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT"

Prostě omezovat pouze typ od kterého může hrozit nebezpečí.
15.9.2010 06:24 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: iptables dotaz
Prostě omezovat pouze typ od kterého může hrozit nebezpečí.

Jaké nebezpečí?
In Ada the typical infinite loop would normally be terminated by detonation.
rofl.rofl avatar 15.9.2010 10:00 rofl.rofl | skóre: 10
Rozbalit Rozbalit vše Re: iptables dotaz
jestli myslíte tohle? Tak ten firewall máte stejně blbě, jako jsem měl já... akorát jste na to ještě nepřišel.
Mozek je aparát, jehož pomocí si myslíme, že myslíme.
Heron avatar 15.9.2010 10:12 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
10.10.2004

Nejsem si jist, od kdy funguje connection tracking pro ICMP, každopádně ten článek je 6 let starý. Nebudeme na sebe vytahovat žákovskou a mlátit se po hlavě za chyby v první třídě, že ne?

15.9.2010 10:24 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
Jasně že je to staré, dnes firewall moc nepoužívám - prostě není co filtrovat když mi na PC nic neběží....

PS. Samozřejmě v tom příkladu je ta stejná chybička jako udělal uživatel zde.
Heron avatar 15.9.2010 10:36 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
To si právě nejsem jistý. Ten článek je o přechodu z ipchain na iptables a nějakých pravidlech. A je otázkou, jestli v té době na tak starém systému (během pár minut jsem to nikde nenašel) fungoval connection tracking pro ICMP. Pokud ne, tak tam ta chyba není.
15.9.2010 10:43 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
Psal jsem to já, a používal tehdá na vytáčeném spojení.

Jestli to fungovalo nebo ne už dnes nezjistím.
15.9.2010 06:24 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: iptables dotaz
následky icmp floodu
Jaké následky?
In Ada the typical infinite loop would normally be terminated by detonation.
15.9.2010 07:18 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
UTFG
Heron avatar 15.9.2010 09:57 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
Možná místo stupidních zkratek by bylo záhodno popsat jaké reálné následky v roce 2010 hrozí, pokud se to či ono povolí a udělá se útok.

Opravdu nemá smysl do FW (zvláště pro začátečníka) cpát věci, které byly možné v roce 1997 (a na tehdejších linkách), protože mu ten skript zbytečně zkomplikují a daný FW tak možná pustí něco mnohem závažnějšího a nebo nepustí užitečný provoz.
15.9.2010 10:14 Luk
Rozbalit Rozbalit vše Re: iptables dotaz
Nejlepší věc, jak se něco nauči(alespon pro mě), je se v tom prostě "šťourat". Takhle bych mohl být začátečník celý život ;-)
15.9.2010 10:14 Ash | skóre: 53
Rozbalit Rozbalit vše Re: iptables dotaz
Jenomže ta stupidní zkratka znamená Use The Friendly Google, a pokud byste to udělal, zjistil byste, že jedním z možných následků je i v roce 2010 restart systému.

Možná máte patent na rozum a tedy víte, co je a co není pro začátečníka, který si hraje s iptables a zkouší nastavit to a ono vhodné, ale při troše pokory která by vám neškodila připusťte, že chybami se člověk učí, a pokud se tazatel dnes naučil to, že --limit nezahazuje pakety, a díky pěknému limitu 1/minutu to i na vlastní oči viděl, pak to je dobře a může se mu to časem v praxi hodit.

Na lidi jako jako pht, kteří na informaci od začátečníka že něco četl o "Ping of Death" ragují "a co to je?" nemíním plýtvat víc, než jen tou zkratkou, protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovat, protože poslední známá zranitelnost je z loňska a je nepravděpodobné, že by postihla zrovna vás.", a pokud je to zároveň člověk sečtělý a není líný hledat, uvede in nějaké odkazy na zdroje, které jeho tvrzení podpoří.

Zatím to ovšem spíš vypadá, že se tu všichni vyspali špatně, takže pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit má, a uvede zdroje místo hraní si na nechápavého a dělání, že o zranitelnosti přes icmp v životě neslyšel a je to asi něco z říše pohádek.
vencour avatar 15.9.2010 11:19 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: iptables dotaz

Jeden link ke kovářovi přímo na konkrétní téma. Navíc v tamní KB toho lze najít dost ;-)

Ať se tu nemele prázdná sláma.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
15.9.2010 11:40 moo
Rozbalit Rozbalit vše Re: iptables dotaz
to bolo na "Ping off Death"
15.9.2010 15:04 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: iptables dotaz
protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovat
Jelikož jsem napsal toto v naší diskusi již 2x, tak jsem zřejmě inteligentní a dobře vyspaný. Uf, to jsem si oddechl.

Vážně. Pokud bych si nemyslel že ICMP není třeba omezovat, tak bych nenapsal "ICMP není třeba omezovat".

Pokud mi někdo na to napíše "ale je, kvůli útoku X" tak se přirozeně zajímám "co je to útok X a proč bych měl kvůli tomu omezovat ICMP".

A pokud mi někdo odpoví "najdi si to na netu" tak si pomyslím že ten člověk neví.

Takže to vypadá že všichni ví že "ping of death je něco hroznýho - omg! musíme s tím něco dělat, co třeba omezit ICMP" ale nikdo neví co to ve skutečnosti je. Co se třeba zeptat?
pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit má
Jo aha takže jste se přece jen "zeptal".

Tak např. proto, že PoD má co dělat s velikostí paketu ale nic s frekvencí.

A obecně např. proto, že nemá smysl chránit děravý IP stack firewallem postaveným na tomtéž IP stacku.

A u ping flood vám nepomůže omezovat něco co k vám stejně přes úzkou linku už dorazilo. A protože vás můžu zahltit zrovna tak TCP paketama.

A dále protože všechny tyhle kraviny jsou zabezpečeny defaultně, takže se nemusí nově koupený počítač dodatečně zabezpečovat dvaceti nastaveníma sehnanýma kdovíkde na internetu.
In Ada the typical infinite loop would normally be terminated by detonation.
rofl.rofl avatar 15.9.2010 13:54 rofl.rofl | skóre: 10
Rozbalit Rozbalit vše Re: iptables dotaz
Děkuji všem za rady, problém považuji za vyřešený... myslím že další diskuze mimo téma je zbytečná...
Mozek je aparát, jehož pomocí si myslíme, že myslíme.
15.9.2010 23:59 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables dotaz
A nezapomeň že lednička chladí a zavírají se u ní dveře :-)

PS. Trocha srandy nevadí.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.