[linux] OT:hlasky z firewalu

[Jarry guru]

Matus \"fantomas\" Uhlar wrote:

> -> > Pravidelne dostavam z firewalu taketo hlasky:
> ->
> -> Naozaj z FIREWALu? Nie je to uz hlaska priamo z
> -> /var/log/security tvojho kompu? Potom prezrad, co
> -> mas za firewall, lebo hlasky z ipchains vyzeraju
> -> inak. BTW, ipchains sleduju typ, nie obsah paketov.
> -> Cize nedokaze rozlisit, ci konekt na bind je ziadost
> -> o nameresolving, alebo hned o transfer celej zony...
> 
> Jarry, firewall moze byt aj pocitac a moze na nom bezat named.

Vies co, fantomas, podla mailov co sem posielas mam o tebe
dost vysoku mienku, ale nerob ani ty zo mna zase blbca!
To si mi teda naozaj povedal "novinku", ze firewall moze byt
aj pocitac. Ja ti poviem jednu: Takyto firewall na ktorom
bezi okrem ineho aj named si mozes prist ku mne pozriet!  :-P

Trvam na tom, co som napisal: firewall na linuxe tvori
ipchains (alebo ipfwadm, ci netfilter, alebo co to je
v tom novom kerneli). A to hlasenie nevyzera, ze ho hodil
do logu firewall, ale skor uz samotny named. Cize cez
ipchains to uz preslo. Vacsina firewallov nedokaze posudzovat
pakety podla obsahu, ale len podla zdrojovej/cielovej adresy,
typu, priznakov, hlavicky, atd.

> -> Spoj sa so
> -> spravcom toho serveru a spytaj sa ho, naco mu to treba.
> 
> a ak nie, blokni z tej masiny tcp spojenia na TCP port 53

Lenze tym zablokuje moznost kontaktovat svoj bind aj pre bezny
nameresolving, nie len pre transfer zony. Nie vzdy sa pre
vyhladavanie mien pouziva iba UDP, ten totiz nezarucuje
dorucenie. Ak sa data stratia, znova sa vyhladava cez TCP.
A napriklad IBM AIX pouziva vzdy TCP, aj pre pociatocny dotaz.
Ale to ti je predsa zname, fantomas, ze?

Takze ak blokne tcp na 53, koli jednemu procesu/blbcovi to
postihne aj nevinnych. Ale aj to je riesenie...

Jarry

-- 
Sent through GMX FreeMail - http://www.gmx.net