Portál AbcLinuxu, 25. dubna 2024 14:52
Stavovy firewall pokud se budeme bavit o netfilteru a iptables znamena jednoduse receno to, ze KAZDEMU packetu se kterym prijde do styku nastavi nejaky jeho STAV. Stav znamena pouze: novy (packet navazujici spojeni), soucast jiz navazaneho spojeni, paket ktery nejak patri k navazanemu spojeni a popripade nejaky vadny paket (rozlisuje chytre podle sve tabulky a ne priznaku v paketu). Ciste na sitove urovni, ne aplikacni. To je vse co umi, vidis tam nekde jakoukoliv zminku o HTTP pozadavcich natoz ze by ji mel zvladat? Ja tedy ne. Z toho je videt ze stavovost je neco uplne jineho nez o cem mluvis. To jen tak na uvod .
Ptas se jestli jsem to dobre pochopil jestli je mozne nejak zabranit tomu, ze nekdo bude mit na internetu svuj redirector kamkoliv a bude se snim spojovat pomoci firewallu. Neda, neda se tomu zabranit nijak, musis se s tim smirit.
Pokud budes mit v odchozim smeru povolen provoz na port 80 tak se kazdy muze pripojit na tento port na jakemkoliv stroji. Tudiz pokud tam bude redirector kamkoliv jinam nebo treba pokud si nekdo udela tunel pryc do svobodneho sveta ne tebou cenzurovaneho tak to nezjistis protoze cilova adresa bude porat adresa redirectoru a jeho portu. Pouze s ni komunikuje klient a nikdo ani firewall nemuze zjistit cokoliv jine. Spoj muze byt sifrovany a pak poznas prd i podle nejakeho grepu na packetech.
Dale pokud bys zakazal cele spojeni ze site ven a pouzil bys aplikacni proxy (treba squida) tak je to nejen nepohodlne, navic nebude fungovat ani posta a dalsi zalezitosti a navic tim neodradis ani stredne inteligentniho zluteho psa ktery si napise redirector ktery bude vse balit do HTTP protokolu. To dokonce zvlada hafo her a i hloupejsi chatovadla a vetsinou si poradi i s nekolika proxy po ceste.
Abych to shrnul, at vymyslis cokoliv tak tim mozna stizis praci lamam ale nezabranis spojeni ven uplne. Vzdycky se najde nejaka skulina od tunelu pomoci icmp, dns az po http kterou schopnejsi uzivatel vyuzije. Jedinou moznosti je uskrceni vsech uzivatelu nebo prestrihnuti sitoveho kabelu.
-djz
Tiskni Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.