[linux] ipfwadm vs. ipchains (OPRAVA)
Peter Paluch
peterp na frcatel.utc.sk
Úterý Leden 4 22:20:52 CET 2000
Hi!
=-=
> pardon....poplietol som to.
> chcem pravidlo, ktore bude aplikovane pre packety
> s nastavenym ACK alebo ACK a SYN sucasne.....prave preto
> nemozem dat "! -y"......to by sa nevztahovalo na
> tie so SYN a ACK sucasne nastavenymi.
Momentalne som trochu dopleteny :) Ale som presvedceny, ze "! -y" zaberie
bud na pakety s nenastavenym SYN, alebo na pakety so SYN a ACK ci FIN (je
jedno, ktorym). Chapem to takto:
S - nastaveny SYN
S'- nenastaveny SYN
A - nastaveny ACK
A'- nenastaveny ACK
F - nastaveny FIN
F'- nenastaveny FIN
Parameter "-y" sa vztahuje len na pakety S AND (A' AND F'), teda len na tie,
ktore maju nastavene SYN a nemaju ani ACK, ani FIN. Vykricnik by mal logicky
negovat tento vyber, teda vysledkom by malo byt S' OR (A OR F) - cize "! -y"
by mal zabrat bud na pakety nemajuce SYN, alebo, ak maju SYN, majuce sucasne
ACK alebo FIN. Dufam, ze si dobre spominam na 4 roky staru latku
aristotelovskej vyrokovej logiky... Ak nie, nekamenujte ma...
Z toho ale vyplyva, ze "! -y" zabera aj na pakety majuce sucasne SYN a ACK.
Podla vsetkeho je to to, co potrebujes.
Inak, zda sa, ze s ipchains sa skutocne nedaju vybrat len tie pakety, ktore
maju vylucne ACK, a pravdupovediac, myslim, ze ani nema zmysel filtrovat len
tieto pakety - myslim, ze by si s tym narobil starosti aj sebe, aj spravcom
inych serverov - napriklad taky netstat by ukazoval kopec spojeni v cudnom
stave...
Maj sa krasne.
Vsetko dobre praje
Peto Paluch
--
****************************************************************
* Peter Paluch , Kukucinova 939/35 , 024 01 Kysucke Nove Mesto *
* mobil: +421 905 164 432 , domov: +421 826 421 2542 *
****************************************************************
Další informace o konferenci linux