On Fri, Jan 04, 2002 at 03:58:21PM +0100, Sascha Andres wrote:
hi, On Fri, Jan 04, 2002 at 01:10:19PM +0100, Martin Neuditschko wrote:
iptables -F iptables -A FORWARD -i ppp0 --state NEW -j DENY keiner sollte mehr eine verbindung von ueber ppp0 aufmachen koennen. Nein. Es darf keiner von außen eine Verbindung öffnen.
iptables -A FORWARD --state INVALID -j DENY
iptables -A FORWARD -p tcp --tcp-flags ALL SYN -j filter iptables -A FORWARD -p tcp --tcp-flags ALL ACK,SYN -j filter iptables -A FORWARD -p tcp --tcp-flags ALL ACK -j filter iptables -A FORWARD -p tcp --tcp-flags ALL ACK,FIN,PSH -j filter nimm doch einfach: iptables -A FORWARD -p tcp -j filter da du fuer alle flags matchen moechtest. Will ich ja nicht. Ich will nur solche Pakete durchlassen die es auch wirklich gibt. Was ist wenn ein Hacker z. B. ein Paket mit ACK, PSH oder RST oder FIN,SYN,... schickt? Mit den obigen Regeln werden nur Pakete die die Flags so gesetzt haben, wie sie normal verwendet werden, durchgelassen werden. Alles was nicht "normal" aussieht wird gleich geblockt.
Und was bewirkt das? Ich nehme an einen Verbindungsaufbau, oder? dabei erhofft man sich informationen um was fuer ein system es sich beim zielrechner handelt. teilweise gab es da in den tcpip stacks einige fehler. im moment wuesste ich aber nicht genau welche. Dann ist es ja noch wichtiger Pakete mit abnormal gesetzten Flags zu terminieren, oder?
-- mfg Martin Neuditschko