Názory k článku
Jak na filtrování paketů pro dialup

Supr clanek! Myslim ze podobne instrukce by se meli objevit v kazde prirucce pro GNU/Linuxove zacatecniky.

Trosku ale nerozumim neustalym zmenam konfiguracnich utilit firewallingu... Bude iptables zase mit uplne jinou syntaxi nez ipchains? Proc to? Muceni?

Ano, má jinou syntaxi. A zdá se mi, že opravdu jen proto, aby ji měl jinou. :(

Souhlasim s predeslim prispevkem. Clanek je super. Takoveto clanky ohrome pomahaji uzivatelum, kteri se prokousavaji linuxem.

Docela bych privital druhy dil, ktery by se tykal firewallu pro site.

Vyborny clanek, diky za nej. Tez bych se pridal k prosbe, aby se casem objevilo i neco o pripojovani siti, pripadne clanky o tom jak konfigurovat linux pro modelove situcace - poc doma, mala sit se stahovatkem mailu s priklady, setri toi spustu casu s hledanim, ktere manualove stranky cist...
a.

Nejak nechapu jaky je rozdil mezi skupinami input, output a forward. Vdyt kazdy paket je prijmut, vyslan a vlastne tak i predan.

Prave ze kazdy paket ne. Nektere na tvem pocitaci skonci (napriklad vyzadana WWW stranka) a tudiz se pro ne uplatni jen pravidlo input. Dalsi na tvem pocitaci muze vzniknout (napr. request na WWW stranku) a tudiz se na nej uplatni jen pravidlo output.
Pokud tvuj comp zaroven neslouzi jako router, tak si pravidla forward moc neuzijes (i kdyz dalo by se neco vymyslet, nicmene standardni situace to nevyzaduji), ale pokud to router/firewall je, tak je napriklad mozne zakazat forward portu 80 z vnitrni site a tim donutit uzivatele pouzivat tvoji proxy. V tomhle pripade navic muzes mit povolen input na port 80 i output z portu 80 v pripade, ze zaroven provozujes na tom routeru i webserver (coz BTW neni uplne genialni napad).
Takze jak vidis, rozdeleni chainu ma sve opodstatneni i vyuziti.

Pro toho rozumprda, co zi rika Avenger: odpovedet se da i min arogantne.

Marvin

Jasne. Pak, ale nechapu proc se v clanku u inputu zadava destination. To me zmatlo.

Opravdu, firewall na vlastnim compu je dobry napad. :-)

Pro typka prede mnou:
input-vstup
output-vystup
forward-posunuti paketu dal

Re na firewall na vlastnim compu.

Ma sve opodstatneni - prave v souvislosti s volbou -l.
Je dobre mit ipchains s povolenymi porty pouze pro poskytovane a potrebne sluzby a jako fallback pravidlo (resp. tri fallback pravidla, pro tcp, udp a icmp) mit -l -j REJECT.
A bud cas od casu prohlizet logy, nebo lepe na ne nastavit trigger (treba swatch). Clovek pak vi, na co si ma davat pozor.

Eh, samozrejme, pro ICMP jen -l, nikoli -j REJECT, hlavo derava. :*)

INPUT - packety, prichazejici zvenku
OUTPUT - prekvapive, packety, odchazejci ven
FORWARD - prijde k lizu jenom v pripade, ze je stroj pouzivan jako router - t.j. packety, ktere pres stroj prochazi, ale nejsou pro nej urceny.

Lehka specialita je interface 'lo', packety, ktere na nej jdou, projdou vsemi tremi chainy, ale je to logicke.

Take vysoce cenim tento clanek a primlouvam se k pokracovani, podrobnejsi vysvetleni ipchains, nat, masquerady, ... prakticke priklady ne neco opsane odnekud z manualu, ale i teorie neuskodi.

neodpustim si jednu poznamku (nebo dodaz? mozna jsem spatne pochopil)
v clanku se vyskytuje tvrzeni:
'není důvod povolit pakety přicházející na port 25 z Internetu'
?a jak bych potom prijimal maily z internetu?

mylim se? opravdu neni potreba mit otevrenou 25 ?

tucnakum zdar, Robert

Pokud nemáš nastavené MX na svůj stroj, tak port 25 skutečně není potřeba otevírat. Máš-li na sebe nasměrovaný MX záznam v DNS, pak se ale asi nepřipojuješ přes dial-up. :)

Robert:Kdyz jsi pripojenej pres dialup, sahas si pro postu na vzdaleny postovni server, ktery se bavi s Inetem na SMTP portu 25. Kdyz si ji ale z tohohle serveru stahujes, nejede k tobe uz po SMTP ale POP3 portu 110. Takze zaslapnuty port 25 podle me neuskodi... Clanek byl sq. Jsem pro to rozhodne donutit autora pokracovat :-).

rad by som prispel vlastnou skusenostou: pokial pozivate shaper, treba si dat pozor na rp_filter, prave sa mi podarilo pomocou toho 'zrusit linku' jednomu zakaznikovy...

Mnohokrat diky za tento clanek, hned jsem si ho zalozil. Take ja bych moc prosil o pokracovani na tema ROUTER, dnes jde o velmi aktualni tema.
Jeste jednou diky a tesim se na pokracovani
Lubos

Díky za tento clanek, ale radci bych uvital nejaky clanek o presmerovani portu z internetu na interni sit.

Diky.