[ LUGOS ] Firewall

Andrej Presern andrejp na luz.fe.uni-lj.si
Sob Jan 8 00:23:35 CET 2000


On Fri, 07 Jan 2000, Saso wrote:
> In message <Pine.LNX.4.10.10001071717580.29024-100000 na mail.velenje.cx>, Mitja N
> ovak writes:
> >hello!
> >v vsakem ip paketu se da videt ali je paket odgovor ali je paket request.
> >na cisco-tu se da lepo nastimat da ce je paket request ga ne spusti cez
> >drugace pa ga, in obratno.
> >torej kako narediti firewall, ki bi spuscal samo tite pakete cez ki so
> >bili zahtevani? (ali ipchains ali ipfwadm)
> 
> [Tole sodi v lugos-sec, ne pa na lugos listo, zato posiljam stvar tja]
> 
> Ne ipchains ne ipfw nista t.i. stateful inspection packet filterja, zato 
> v resnici ne vesta, ce je doloceni paket prispel kot del ze vzpostavljene 
> seje, ali pa je le lepo skonstruiran paket, ki ima postavljena SYN in ACK 
> paketka.
> 
> Ce firewall ne ve, ali doloceni paket pripada ze vzpostavljeni seji ali ne, in 
> ce preverja samo na podlagi postavljenega ACK bita v paketu, potem je tak 
> firewall mozno izredno zlahka zaobiti. Ce pa se firewall da zlahka zaobiti, 
> potem to ni firewall, pac pa pesek v oci, a ne?
> 
> Razlicni trojanski konji lahko samo cakajo na pravi paketek s postavljenimi 
> SYN/ACK flagi in potem vzpostavijo pravo povezavo s serverjem nekje drugje. 
> In tvoj firewall bo vse to spustil mimo, ker je prisel od zunaj paket, ki 
> ocitno ni 'request', ker nima samo SYN flag postavljen.

Hm. Pretirano se res nisem poglabljal, vendar:
       [!] -y, --syn
              Only match TCP packets with the SYN bit set and the
              ACK and FIN bits cleared.  Such packets are used to
              request TCP  connection  initiation;  for  example,
              blocking  such  packets coming in an interface will
              prevent incoming TCP connections, but outgoing  TCP
              connections  will  be  unaffected.   This option is
              only meaningful when the protocol type  is  set  to
              TCP.   If the "!" flag precedes the "-y", the sense
              of the option is inverted.

Ali si to imel v mislih?

> In najverjetneje se lahko vzpostavi kakrsenkoli promet iz 'varovanega' obmocja 
> proti internetu, a ne?
> 
> Za resne firewall resitve Linux ni prava platforma odkar ni vec IPFilter 
> podpore za Linux. FW-1 za Linux bo pa enkrat v bliznji prihodnosti.

Andrej

-- 
Andrej Presern, andrejp na luz.fe.uni-lj.si 




Dodatne informacije o seznamu Starilist