[ LUGOS ] Preprost pz

Andrej Presern andrejp na luz.fe.uni-lj.si
Ned Okt 3 12:50:37 CEST 1999


On Sun, 03 Oct 1999, jernej horvat wrote:
>On Sun, 3 Oct 1999, Andrej Presern wrote:
>
>> Hm. Nisem cisto preprican, da razumem, v cem je problem. Se pravi tebe v bistvu
>> matrajo varnostne zadeve v smislu, da je mreza odprta za ip spoofing?
>
>Da, ampak kako se "boriti" proti tem kukavicjim ip ?
>
>ICMP sem v celoti zaprl, ampak to ni resitev....

Filtriraj vhodne paketke na ppp0, tako da spustis cez vhodni vmesnik samo
paketke, ki niso z lokalne mreze. Recimo:

ipchains -A input -i ppp0 -s ! 192.168.0.0/16 -j ACCEPT

Oz., ce zelis, lahko paketke, ki pridejo iz vhodnega vmesnika ppp0, pa nosijo
lokalni IP, logiras in ne spustis notri:

ipchains -A input -i ppp0 -s 192.168.0.0/16 -l -j REJECT

Alternativno lahko tudi preprecis, da sibajo paketki z lokalnimi IPji ven - v
tem primeru bodo lazni paketki z interneta sicer prisli notri, ne bodo pa
mogli ven - kar v koncni fazi enako (no, skoraj) prepreci uhajanje podatkov
(ne prepreci pa potrate resursov serverja, ker lazni paketki vseeno pridejo
do servisa).

ICMP pa ne zapiraj (vsaj ne v celoti), ker je koristen protokol:)

Andrej

--
Andrej Presern, andrejp na luz.fe.uni-lj.si 




Dodatne informacije o seznamu Starilist