Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: --syn != state NEW

Subject: Re: lug-bg: --syn != state NEW
From: Ilia Lindov <ilia@xxxxxxxxxxxxxx>
Date: Thu, 06 May 2004 18:17:03 +0300

dgt_it dgt_it wrote:

Искам да питам каква е разликата м/у

iptables ... --syn ...

iptables ... -m state --state NEW ...


Когато имаш --syn можеш да въздействаш само на TCP връзки.
Докато NEW има влияние върху UDP и ICMP пакети.
Виж 'Iptables Tutorial' от Oskar Andreasson. Там доста добре е обяснено
това.

Защото лично аз не я разбирам нещо ?!. ( и хоутата четох ,и man iptables,но уви неразбрах разликата :( ).

--state NEW съответства на всяка НОВА ВРЪЗКА -> дотук ОК !
--syn съответства на пакет с вдигнат бит SYN .т.е изисква се синхронизация на пакетите и/или установяване на нова връзка/конекция (?)


Както писах по-горе SYN пакети имаш само при TCP

Всмисъл ще е по правилно

iptables -A INPUT -m state --state NEW --syn -j DROP


Тук за да използваш --syn трябва да укажеш че протокола е TCP (-p tcp).
Тогава обаче --state NEW и --syn става едно и също и се обезмисля
употребата им заедно.

iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT

(не приемам връзки с вдигнат syn ,но приемам всички останали опити за нова връзка / конекция -> state NEW )

или

iptables -A INPUT -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT

iptabels -A INPUT --syn -j ACCEPT


при положение, че на първия ред DROP-ваш всички NEW пакети, то последния
ред никога няма да влезе в действие (освен това ти липсва и '-p tcp')


( не приемам NEW - което обаче май значи всички опит за нова конекция от страна на хост към мен , но поволявам пакети със вдигнат бит syn ?)

Така де, ако някой не му се обяснява , но знае добър "линк" само да го даде насам ;)

ПС: за мен този въпрос е важен , защото дефакто в момента firewall-а ми никаква работа невърши , макар и да съм казал пускай този порт по този протокол , но като съм позволил state NEW -> това означава , че всеки хост може да отвори нова връзка към всеки един порт ?!., така че сигурност никаква :)) и :( ( разбира се ).

ПРЕДВАРИТЕЛНО много благодаря ;)


Това е според мен. Успех! :)


Поздрави: Илия Линдов

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================

Относно:
- lug-bg: --syn != state NEW
  - Изпратено от: dgt_it dgt_it <dgt_it@xxxxxx>

Предишно по дата: lug-bg: --syn != state NEW
Следващо по дата: Re: lug-bg: Имен ден
Предишно по тема: lug-bg: --syn != state NEW
Следващо по тема: Re: Re: lug-bg: --syn != state NEW
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG