[ LUGOS ] Preprost pz
Andrej Presern
andrejp na luz.fe.uni-lj.si
Ned Okt 3 12:50:37 CEST 1999
On Sun, 03 Oct 1999, jernej horvat wrote:
>On Sun, 3 Oct 1999, Andrej Presern wrote:
>
>> Hm. Nisem cisto preprican, da razumem, v cem je problem. Se pravi tebe v bistvu
>> matrajo varnostne zadeve v smislu, da je mreza odprta za ip spoofing?
>
>Da, ampak kako se "boriti" proti tem kukavicjim ip ?
>
>ICMP sem v celoti zaprl, ampak to ni resitev....
Filtriraj vhodne paketke na ppp0, tako da spustis cez vhodni vmesnik samo
paketke, ki niso z lokalne mreze. Recimo:
ipchains -A input -i ppp0 -s ! 192.168.0.0/16 -j ACCEPT
Oz., ce zelis, lahko paketke, ki pridejo iz vhodnega vmesnika ppp0, pa nosijo
lokalni IP, logiras in ne spustis notri:
ipchains -A input -i ppp0 -s 192.168.0.0/16 -l -j REJECT
Alternativno lahko tudi preprecis, da sibajo paketki z lokalnimi IPji ven - v
tem primeru bodo lazni paketki z interneta sicer prisli notri, ne bodo pa
mogli ven - kar v koncni fazi enako (no, skoraj) prepreci uhajanje podatkov
(ne prepreci pa potrate resursov serverja, ker lazni paketki vseeno pridejo
do servisa).
ICMP pa ne zapiraj (vsaj ne v celoti), ker je koristen protokol:)
Andrej
--
Andrej Presern, andrejp na luz.fe.uni-lj.si
Dodatne informacije o seznamu Starilist