abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    OPNsense 24.7 "Thriving Tiger"
    včera 18:33 | Nová verze

    Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    Bezpečnostní problém PKFail v ekosystému UEFI
    včera 05:11 | Bezpečnostní upozornění

    Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.

    Ladislav Hagara | Komentářů: 11
    /e/OS 2.2
    včera 02:22 | Nová verze

    Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.

    Ladislav Hagara | Komentářů: 2
    Společnost OpenAI představila vyhledávač SearchGPT
    včera 01:22 | IT novinky

    Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.

    Ladislav Hagara | Komentářů: 0
    Linux Mint 22 „Wilma“
    včera 00:11 | Nová verze

    Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinekpoznámkách k vydání.

    Fluttershy, yay! | Komentářů: 2
    Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu
    25.7. 17:44 | Zajímavý článek

    Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.

    Ladislav Hagara | Komentářů: 2
    Qt Creator 14
    25.7. 17:22 | Nová verze

    Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.

    Ladislav Hagara | Komentářů: 0
    Rust 1.80.0
    25.7. 17:11 | Nová verze

    Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    Beta verze Apple Maps na webu
    25.7. 14:11 | IT novinky

    Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.

    Ladislav Hagara | Komentářů: 23
    2024 Stack Overflow Developer Survey
    25.7. 13:11 | IT novinky

    Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables dotaz
    Štítky: firewally, input, iptables, output, problém

    Dotaz: iptables dotaz

    12.9.2010 13:37 masak
    iptables dotaz
    Přečteno: 849×
    Zdravím, chci se naučit něco o iptables, ale narazil jsem hned na problém v jednom z triviálních firewallů, co jsem našel na netu: 
    iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
    pokud tohle spustím na noteboku(10.0.0.140), a pinguju jeho adresu z netbooku(10.0.0.141) třeba: 
    ping -c 20 10.0.0.140
    propustí mi to uplně všechny icmp pakety... To se mi tak trochu nezdá. Když zakomentuju ten řádek se "--state ESTABLISHED,RELATED atd.", tak to těch icmp paketů propustí opravdu jen 5. Mohl by mi prosím někdo osvětlit, co tedy tenhle řádek přesně dělá. Děkuji.

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    H0ax avatar 12.9.2010 14:03 H0ax | skóre: 36 | blog: Odnikud_nikam
    Rozbalit Rozbalit vše Re: iptables dotaz
    Protože se ti to state pravidlo uplatní první a dál se už vyhodnocení pravidel neprovádí.
    uid=0(root) gid=0(root) skupiny=0(root)
    rofl.rofl avatar 12.9.2010 14:06 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    to jsem zkoušel, když zaměním řádek 5 za 6, dělá to to samý:)
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    rofl.rofl avatar 12.9.2010 14:50 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Tak mě napadá... nemůže to být tím, že jsou ty počítače na stejný síti v NATu pod routerem? Proto bych právě potřeboval vysvětlit, co přesně dělá ten stavový firewall.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    12.9.2010 19:45 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Je to tak správně, řádek s limitem propustí jen pár paketů, ale "ESTABLISHED,RELATED" propustí všechny (zbylé pakety). Správně byste měl po řádkem s limitem mít ještě jeden řádek, kdy icmp pakety zahodíte... 
    -A ALLOW_ICMP -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT
-A ALLOW_ICMP -p icmp -j DROP
    12.9.2010 19:47 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    -A INPUT (copy&paste...)
    vencour avatar 12.9.2010 19:53 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables dotaz

    Doplnim: jde o to, co autor vlastně chce. Pokud od sebe povolit vše, tak platí, že v OUTPUTu to povolí a pak už to omezit nejde, protože už to je established. Tedy u pingu z venku by to mělo limitovat odpovědi, při jeho uvedeném zadání praviděl.

    Pro bližší orientaci doporučuji shlédnout (např. toto) iptables packet flow.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    rofl.rofl avatar 12.9.2010 21:41 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Aha, takže aby to fungovalo upravil jsem to takhle: 
    iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
    Prvně jsem to totiž pochopil tak, že ten řádek "iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT" povolí těch 5 paketů a zbytek nastaví na DROP, právě proto, že je výchozí politika DROP. Právě proto že co není povoleno, to by mělo být zakázano... nj. Každopadně dík.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    13.9.2010 07:13 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Je to tak, že ten limit vám "vybere" těch pár paketů, a pak s nimi "něco" udělá (jedna z možností je -j ACCEPT, další jsou například -j LOG apod...). Žádný vedlejší efekt jako zahazování to nemá, takže co se stane s ostatními pakety je otázka, pokud je výchozí politika DROP, tak úplně na konci budou zahozeny, POKUD ovšem je mezi tím někde nepovolíte pomocí ESTABLISHED -j ACCEPT, což byl váš případ.
    Řešení 1× (zajdee)
    13.9.2010 16:45 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    Omezovat rychlost příchozích ICMP je úchylárna a nadělá více škody než užitku. Respektive jakékoliv omezení ICMP.

    (Bohužel je škoda že se takové věci povalují na netu a vydávají se za návody.)
    In Ada the typical infinite loop would normally be terminated by detonation.
    14.9.2010 17:25 Luk
    Rozbalit Rozbalit vše Re: iptables dotaz
    A co je na tom uchylnyho?
    14.9.2010 18:34 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    ICMP řídí provoz IP. Přebytek ICMP vám neuškodí, nedostatek ano. Viz např. man iptables (hledejte slovo braindead). Pokud nastavíte limit jak je uveden v příkladu tak mi bude stačit vás odněkud pingat a už žádnou ICMP neobdržíte. Spojení se budou rozpadat a timeoutovat. Vyhodí vás za to z práce. Opustí vás pes. Budete smutný a začnete žrát hodně čokolády. Zkazí se vám zuby. Takže neomezujte ICMP pokud nechcete trpět u zubaře.
    In Ada the typical infinite loop would normally be terminated by detonation.
    Heron avatar 14.9.2010 18:38 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    +1

    :-D
    Heron
    rofl.rofl avatar 14.9.2010 19:49 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Tu minutu jsem tam dal jen pro účely testování, aby bylo každé echo pěkně vidět:) V originále byla tuším 1/s. Btw. To omezení dělali kvůli "Ping off Death"...
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    14.9.2010 20:44 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    V originále byla tuším 1/s.

    Jako by na tom záleželo.
    To omezení dělali kvůli "Ping off Death"...

    A co to je?
    In Ada the typical infinite loop would normally be terminated by detonation.
    rofl.rofl avatar 14.9.2010 22:05 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    A co to je?
    s iptables i o TCP/IP se to teprv učím, to se mě moc ptáš;-)
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    15.9.2010 08:21 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Tak tady se můžete naučit to nejdůležitější pravidlo pro stavbu firewallu: nikdy nenastavujte věci, o kterých docela dobře nevíte, co a proč dělají. Když si do firewallu jen tak přidáte pravidlo, které jste našel někde na internetu, nejpravděpodobnější je, že vás stejně úplně neochrání před tím, před čím jste si myslel, že by mělo chránit; a zároveň vám zablokuje nějakou komunikaci, kterou jste blokovat nechtěl. Případně, jako v tomto případě, neochrání vůbec před ničím a jenom zablokuje důležitou komunikaci.
    rofl.rofl avatar 15.9.2010 09:42 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Samozřejmě, už na záčátku jsem psal, že se s tím teprve učím, a určitě nehodlám nikde nic nasazovat:) Pochybuju že by tu všichní uměli nastavit firewall jen po přečtení man.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    houska avatar 15.9.2010 08:28 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: iptables dotaz
    A co to je?
    zde najdes to co hledas
    15.9.2010 08:51 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Možná by bylo dobré, kdyby se všichni, kdo tady pro informace o Ping of death vtipně odkazují na Google, ten Google použili sami, a zkusili to, co zjistí, porovnat s kalendářem.

    Takže já se tedy klidně přidám k těm neználkům – čím je Ping of deatch v roce 2010 na Linuxu nebezpečný?
    15.9.2010 09:29 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Osobně jsem také myslel, že proti Ping of Death (jumbo pakety) jsou systémy již léta odolné, ale asi to není tak úplně pravda a nějaký zranitelný driver se najde i v těchto moderních, lepších časech (#529137).

    O odolnosti proti ping floodu (mnoho paketů/DDoS) jsem nic neslyšel, vyzkoušet to také nemohu (nemám dostatečný botnet a dostatečně pomalou linku používám jen zřídka), takže firewall zatím nechávám nastavený tak, jak je, ničemu to nevadí (opravdu jen málo lidí má legitimní důvod mne pingat tisíci pakety nadměrných rozměrů :D).
    15.9.2010 10:03 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ping flood je jen podmnožina DDoS útoků, a podle mne nemá moc smysl řešit zrovna ping flood a ostatní možnosti ignorovat. Navíc pokud už vám někdo zahltí linku příchozí komunikací, na cílovém počítači už toho mnoho nezachráníte.
    15.9.2010 10:54 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Podle mne také nemá smysl řešit jen ping flood a ostatní možnosti ignorovat. Myslím že má smysl řešit ping flood a ostatní možnosti.

    Vtip toho útoku spočíval mimo jiné v tom, že linku zahlcovala i odchozí komunikace (atakovaný počítač), protože na ping se překvapivě reaguje pongem. Což je právě důvod, proč se nadbytečné pakety zahazují. V horším případě ještě byla podvržena zdrojová IP na nějaký broadcast, díky čemuž atakovaný počítač odstavil třeba vlastní intranet.

    Osobně na pocity že něco nemá smysl řešit v oblasti bezpečnosti moc nedám, takže podporuji přístup že omezovat icmp lze, ovšem dostatečně sotisfikovaně tak, aby tím nebyl omezen řádný provoz, který zpravidla různé nevalidní icmp pakety či pakety s podvrženou adresou nepotřebuje, a asi nikdo mne nepřesvědčí o tom, že jsou potřeba.
    15.9.2010 11:23 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Způsobů,jak donutit atakovaný počítač zahltit i odchozí komunikaci, je spousta. Pokud chci řešit útok na kapacitu linky, měl bych řešit všechny možnosti, ne jen jedno náhodně opsané pravidlo z internetu. Omezovat icmp samozřejmě lze, měl bych ale vědět, co a proč dělám. Než mít v iptables nějaké pravidlo „viděl jsem to někde na internetu“, je lepší nemít ho tam vůbec. Takže pokud si někdo do firewallu dá pravidlo údajně proti Ping of death, měl by také umět odpovědět na otázku, co to Ping of death je a jak mu proti tomu to pravidlo pomůže.
    rofl.rofl avatar 15.9.2010 11:56 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ano, tak odteď budeme rozlišovat dva druhy lidí. Jedni, kteří když si koupí novou ledničku, tak musí pořádně prostudovat návod kvůli tomu, aby zjistili jak správně u ní otevřít dveře, a co vůbec taková lednička dělá. A ti druzí, kteří ji prostě vrazí do zásuvky použivají, a pokud chtějí podrobnosti, přečtou si návod později. Opravdu nevím, co vám vadí na tom, že patřím k té druhé skupině a asi to ani nikdy nepochopím.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    15.9.2010 12:26 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ty dva tábory jste docela trefil, osobně patřím také k té druhé skupině (po zakoupení studuji návod, ale lednička už mezi tím běží a chladí, kupodivu málokterá sežere kočku či exploduje). Stejně tak základ pro firewall jsem si zkopíroval z důvěryhodného zdroje a dolaďoval postupně.

    Lidé kteří staví raketoplány to zase mohou vidět jinak, vždy je dobré k věci přistupovat úměrně riziku ztráty a hodnotě toho, co můžeme ztratit.

    Myslím že jste každopádně na dobré cestě a hlavně neberte všechny posty ať moje nebo kolegů moc osobně ;-) kolikrát se diskuze stočí do velmi obecné roviny, kde je nutno se pohybovat opatrně, protože se střílí obecnými argumenty s velkým rozptylem.
    Heron avatar 15.9.2010 13:09 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    :-(

    Jestli srovnáváte ledničku a firewall, tak se asi půjdu omluvit vedle do diskuse, kde někdo chtěl dávat 10A spínač do obvodu jištěný 15A pojistkou a z tohoto fóra nadobro odejdu někam, kde lidé ctí normy a nějaká pravidla.

    Lednička je určena pro provoz laikem (a navíc je to zařízení, které každý důvěrně zná), stejně jako např. webový prohlížeč. Firewall vyžaduje slušné znalosti sítě úplně stejně jako zásah do obvodu vyžaduje odpovídající elektrotechnické vzdělání a znalost norem.

    To srovnání s ledničkou je zcela mimo mísu.
    Heron
    15.9.2010 13:14 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ale princip zprovoznění byl natolik zobecněn, že to pochopí i blbec a dokáže by dva tábory lidí odlišit. Pak je bohužel ještě třetí skupina lidí, kteří to vemou doslova :(
    Heron avatar 15.9.2010 13:35 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Myslíš ty zastaralé návody plné chyb?
    Heron
    15.9.2010 13:47 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Ne, myslel jsem tu ledničku ;) Už vidím ty debaty o ledničkách...
    15.9.2010 13:36 Luk
    Rozbalit Rozbalit vše Re: iptables dotaz
    Jak jsem řekl, některé věci prostě nikdy nepochopím, sorry...
    15.9.2010 13:41 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Mně nevadí, že patříte ke druhé skupině. Jenom se vám celou dobu snažím vysvětlit, že firewall takhle používat nejde. Firewall nastavený tak, abyste jej mohl používat bez návodu už máte od instalace Linuxu – je to vypnutý firewall. Přirovnání k ledničce se vám totiž moc nepovedlo, protože vy už víte, jak se s ledničkou zachází a k čemu má sloužit. Když chcete používání ledničky přirovnat k zacházení neznalého správce s firewallem, představte si, že se někdo pokouší metodou pokus omyl zjistit, k čemu se lednička používá. Nejdřív tam zkusí něco ohřát a bude se divit, že to má studené. Pak nechá otevřené dveře od lednice, protože mu bude připadat zbytečné je zavírat. A nakonec zjistí, že jediné, co to spolehlivě dělá, je to, že při otevřených dveřích svítí – a bude ledničku používat jako osvětlení.
    15.9.2010 13:52 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Nechápu proč obecné debaty o spotřebičích a neznalých uživatelích motáte ke konkrétní situaci, kdy tu máme tazatele, který se o firewall aktivně zajímá, a ví, k čemu se používá, a také ví, co od něj chce, akorát mu to vinou zastaralému návodu přesně nefungovalo :(
    15.9.2010 13:59 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables dotaz
    Protože na tom konkrétním příkladu je vidět, že ta obecná debata je úplně mimo realitu. Protože tu porovnáváte neznalého uživatele, který neví, k čemu je firewall, jak se používá a funguje, s uživatelem, který ví, k čemu je lednička, jak se používá a aspoň základní princip, jak funguje (že uvnitř je chlad).
    Heron avatar 15.9.2010 14:15 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Nejdřív tam zkusí něco ohřát a bude se divit, že to má studené.

    Pokud to postaví na kondenzátor dozadu, tak se mu to ohřeje :-D. Takže bude mít ohřívací lampu vlastně.

    Heron
    14.9.2010 21:29 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    V ostrém provozu se to samozřejmě musí nastavit nějak inteligentně, jednak mírnější limit, za druhé rozlišovat --icmp-type 0, 3, 8, 11 apod. Mírné omezení počtu pingů neuškodí, lepší než řešit následky icmp floodu. Samozřejmě v ideálním světě bych je taky neomezoval :)
    15.9.2010 00:29 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Já jsem měl ve firewallu "/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT"

    Prostě omezovat pouze typ od kterého může hrozit nebezpečí.
    15.9.2010 06:24 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    Prostě omezovat pouze typ od kterého může hrozit nebezpečí.

    Jaké nebezpečí?
    In Ada the typical infinite loop would normally be terminated by detonation.
    rofl.rofl avatar 15.9.2010 10:00 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    jestli myslíte tohle? Tak ten firewall máte stejně blbě, jako jsem měl já... akorát jste na to ještě nepřišel.
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    Heron avatar 15.9.2010 10:12 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    10.10.2004

    Nejsem si jist, od kdy funguje connection tracking pro ICMP, každopádně ten článek je 6 let starý. Nebudeme na sebe vytahovat žákovskou a mlátit se po hlavě za chyby v první třídě, že ne?

    Heron
    15.9.2010 10:24 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Jasně že je to staré, dnes firewall moc nepoužívám - prostě není co filtrovat když mi na PC nic neběží....

    PS. Samozřejmě v tom příkladu je ta stejná chybička jako udělal uživatel zde.
    Heron avatar 15.9.2010 10:36 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    To si právě nejsem jistý. Ten článek je o přechodu z ipchain na iptables a nějakých pravidlech. A je otázkou, jestli v té době na tak starém systému (během pár minut jsem to nikde nenašel) fungoval connection tracking pro ICMP. Pokud ne, tak tam ta chyba není.
    Heron
    15.9.2010 10:43 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Psal jsem to já, a používal tehdá na vytáčeném spojení.

    Jestli to fungovalo nebo ne už dnes nezjistím.
    15.9.2010 06:24 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    následky icmp floodu
    Jaké následky?
    In Ada the typical infinite loop would normally be terminated by detonation.
    15.9.2010 07:18 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    UTFG
    Heron avatar 15.9.2010 09:57 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    Možná místo stupidních zkratek by bylo záhodno popsat jaké reálné následky v roce 2010 hrozí, pokud se to či ono povolí a udělá se útok.

    Opravdu nemá smysl do FW (zvláště pro začátečníka) cpát věci, které byly možné v roce 1997 (a na tehdejších linkách), protože mu ten skript zbytečně zkomplikují a daný FW tak možná pustí něco mnohem závažnějšího a nebo nepustí užitečný provoz.
    Heron
    15.9.2010 10:14 Luk
    Rozbalit Rozbalit vše Re: iptables dotaz
    Nejlepší věc, jak se něco nauči(alespon pro mě), je se v tom prostě "šťourat". Takhle bych mohl být začátečník celý život ;-)
    15.9.2010 10:14 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: iptables dotaz
    Jenomže ta stupidní zkratka znamená Use The Friendly Google, a pokud byste to udělal, zjistil byste, že jedním z možných následků je i v roce 2010 restart systému.

    Možná máte patent na rozum a tedy víte, co je a co není pro začátečníka, který si hraje s iptables a zkouší nastavit to a ono vhodné, ale při troše pokory která by vám neškodila připusťte, že chybami se člověk učí, a pokud se tazatel dnes naučil to, že --limit nezahazuje pakety, a díky pěknému limitu 1/minutu to i na vlastní oči viděl, pak to je dobře a může se mu to časem v praxi hodit.

    Na lidi jako jako pht, kteří na informaci od začátečníka že něco četl o "Ping of Death" ragují "a co to je?" nemíním plýtvat víc, než jen tou zkratkou, protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovat, protože poslední známá zranitelnost je z loňska a je nepravděpodobné, že by postihla zrovna vás.", a pokud je to zároveň člověk sečtělý a není líný hledat, uvede in nějaké odkazy na zdroje, které jeho tvrzení podpoří.

    Zatím to ovšem spíš vypadá, že se tu všichni vyspali špatně, takže pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit má, a uvede zdroje místo hraní si na nechápavého a dělání, že o zranitelnosti přes icmp v životě neslyšel a je to asi něco z říše pohádek.
    vencour avatar 15.9.2010 11:19 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables dotaz

    Jeden link ke kovářovi přímo na konkrétní téma. Navíc v tamní KB toho lze najít dost ;-)

    Ať se tu nemele prázdná sláma.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    15.9.2010 11:40 moo
    Rozbalit Rozbalit vše Re: iptables dotaz
    to bolo na "Ping off Death"
    15.9.2010 15:04 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: iptables dotaz
    protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovat
    Jelikož jsem napsal toto v naší diskusi již 2x, tak jsem zřejmě inteligentní a dobře vyspaný. Uf, to jsem si oddechl.

    Vážně. Pokud bych si nemyslel že ICMP není třeba omezovat, tak bych nenapsal "ICMP není třeba omezovat".

    Pokud mi někdo na to napíše "ale je, kvůli útoku X" tak se přirozeně zajímám "co je to útok X a proč bych měl kvůli tomu omezovat ICMP".

    A pokud mi někdo odpoví "najdi si to na netu" tak si pomyslím že ten člověk neví.

    Takže to vypadá že všichni ví že "ping of death je něco hroznýho - omg! musíme s tím něco dělat, co třeba omezit ICMP" ale nikdo neví co to ve skutečnosti je. Co se třeba zeptat?
    pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit má
    Jo aha takže jste se přece jen "zeptal".

    Tak např. proto, že PoD má co dělat s velikostí paketu ale nic s frekvencí.

    A obecně např. proto, že nemá smysl chránit děravý IP stack firewallem postaveným na tomtéž IP stacku.

    A u ping flood vám nepomůže omezovat něco co k vám stejně přes úzkou linku už dorazilo. A protože vás můžu zahltit zrovna tak TCP paketama.

    A dále protože všechny tyhle kraviny jsou zabezpečeny defaultně, takže se nemusí nově koupený počítač dodatečně zabezpečovat dvaceti nastaveníma sehnanýma kdovíkde na internetu.
    In Ada the typical infinite loop would normally be terminated by detonation.
    rofl.rofl avatar 15.9.2010 13:54 rofl.rofl | skóre: 10
    Rozbalit Rozbalit vše Re: iptables dotaz
    Děkuji všem za rady, problém považuji za vyřešený... myslím že další diskuze mimo téma je zbytečná...
    Mozek je aparát, jehož pomocí si myslíme, že myslíme.
    15.9.2010 23:59 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables dotaz
    A nezapomeň že lednička chladí a zavírají se u ní dveře :-)

    PS. Trocha srandy nevadí.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.