Hi Andreas,
From: Andreas Meyer
Am Mit, 25 Okt 2000 schrieb Heinz W. Pahlke:
Schade, nun habe ich endlich ein klein wenig kapiert, wie IP-Spoofing funktioniert (auch wenn mir der source-code noch ein Raetsel ist), aber wie man sich schuetzen kann, weiss ich noch immer nicht (gut, ein paar Stichworte zum weiteren eigenen Nachdenken fallen mir schon ein).
Ich zitiere mal aus Kofler: Zum Glück ist es sehr einfach, das IP-Spoofing zu verhindern. Seit Kernel 2.2 müssen Sie dazu keine komplizierten Filterregeln, sondern lediglich den Kernel-Parameter rp.filter für jedes Interface verändern:
# /sbin/myrules (Fortsetzung) # IP-Spoofing verhindern for rpf in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $rpf done
Ich kann dazu nicht sagen, ob das funktioniert, da firewalls und ipchains momentan für mich ein Buch mit sieben Siegeln sind. z.b. verstehe ich nicht, warum, nachdem das Defaultverhalten für einen Standardfilter per Ž$IPC -P input DENYŽ auf DENY gesetzt ist, somit also bestimmte ports erst wieder explizit frei gegeben werden müssen, dann doch nochmal bei Kofler folgende Zeilen auftauchen:
#Input-Regeln für das Internet-Device: TCP-Pakete $IPC -A input -i $PPPIN -p tcp -y --dport 0:1023 -j DENY $IPC -A input -i $PPPIN -p tcp --dport 139 -j DENY
policity DENY bedeutet erst mal alles verbieten und DANN auf folgende Regeln weiterleiten. Fuer die Regeln gilt, die erste passende Regel wird genommen, alle weiteren werden nicht mehr versucht. Du erreichst damit also, sofern diese Regeln ganz am Anfang stehen, das Packete fuer eine "netbios session" welche von Deinem Weltdevice kommen, abgelehtn werden, egal was danach fuer Regeln kommen.
also DENY, obwohl die INPUT-Regeln generell schon auf DENY gesetzt sind und alles danach aufgeführte doch eigentlich Ausnahmen der Default-Regel sein sollen...tz...
by Joerg --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com