[ LUGOS ] Firewall
Andrej Presern
andrejp na luz.fe.uni-lj.si
Sob Jan 8 00:23:35 CET 2000
On Fri, 07 Jan 2000, Saso wrote:
> In message <Pine.LNX.4.10.10001071717580.29024-100000 na mail.velenje.cx>, Mitja N
> ovak writes:
> >hello!
> >v vsakem ip paketu se da videt ali je paket odgovor ali je paket request.
> >na cisco-tu se da lepo nastimat da ce je paket request ga ne spusti cez
> >drugace pa ga, in obratno.
> >torej kako narediti firewall, ki bi spuscal samo tite pakete cez ki so
> >bili zahtevani? (ali ipchains ali ipfwadm)
>
> [Tole sodi v lugos-sec, ne pa na lugos listo, zato posiljam stvar tja]
>
> Ne ipchains ne ipfw nista t.i. stateful inspection packet filterja, zato
> v resnici ne vesta, ce je doloceni paket prispel kot del ze vzpostavljene
> seje, ali pa je le lepo skonstruiran paket, ki ima postavljena SYN in ACK
> paketka.
>
> Ce firewall ne ve, ali doloceni paket pripada ze vzpostavljeni seji ali ne, in
> ce preverja samo na podlagi postavljenega ACK bita v paketu, potem je tak
> firewall mozno izredno zlahka zaobiti. Ce pa se firewall da zlahka zaobiti,
> potem to ni firewall, pac pa pesek v oci, a ne?
>
> Razlicni trojanski konji lahko samo cakajo na pravi paketek s postavljenimi
> SYN/ACK flagi in potem vzpostavijo pravo povezavo s serverjem nekje drugje.
> In tvoj firewall bo vse to spustil mimo, ker je prisel od zunaj paket, ki
> ocitno ni 'request', ker nima samo SYN flag postavljen.
Hm. Pretirano se res nisem poglabljal, vendar:
[!] -y, --syn
Only match TCP packets with the SYN bit set and the
ACK and FIN bits cleared. Such packets are used to
request TCP connection initiation; for example,
blocking such packets coming in an interface will
prevent incoming TCP connections, but outgoing TCP
connections will be unaffected. This option is
only meaningful when the protocol type is set to
TCP. If the "!" flag precedes the "-y", the sense
of the option is inverted.
Ali si to imel v mislih?
> In najverjetneje se lahko vzpostavi kakrsenkoli promet iz 'varovanega' obmocja
> proti internetu, a ne?
>
> Za resne firewall resitve Linux ni prava platforma odkar ni vec IPFilter
> podpore za Linux. FW-1 za Linux bo pa enkrat v bliznji prihodnosti.
Andrej
--
Andrej Presern, andrejp na luz.fe.uni-lj.si
Dodatne informacije o seznamu Starilist