Portál AbcLinuxu, 19. března 2024 12:38
:INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [662:99947]to cislo v zatvorkach za OUTPUTom.....co to cislo znamena a preco je iba pri OUTPUT??? ....dik ...
iptables -Lnic v OUTPUTe nebolo...:( ... dik
rp_filter
, ale ten koliduje s tolika věcmi, že je lépe ho nezapínat.
rp_filter
raději všude vypnutý)
3. mám pocit, že nějaké problémy mohou nastat i u GRE tunelů, ale tím si nejsem stoprocentně jistý.
Těch situací, kde jsem na to narazil, bylo víc, ale na další si teď hned nevzpomenu. V každém případě aktivace rp_filter
podle mých zkušeností znamená, že různé netriviální síťové záležitosti začnou zlobit.
rp_filter
pomůže, je zahození paketů se zdrojovou adresou ze 127.0.0.0/8
, které přijdou na eth0
. Pokud je pachatel nastavení paketového filtru aspoň trochu při smyslech, pak takové pakety nikdy nemůže pustit dovnitř. Pokud snad ano, tak tam bude stejně mít mraky daleko závažnějších chyb, takže rp_filter
ho nespasí...
hosts.allow
jsem už pustil z hlavy. Ale v tomto případě nevidím důvod, proč zapínat potenciálně problematickou feature jen proto, aby blokovala jeden jediný rozsah spoofovaných adres, když tak jako tak budu hlídat spoustu dalších. Navíc třeba IPsec rozhodně nepovažuji za něco, co by na desktopu nemělo co dělat.
Tiskni Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.