Vlákno názorů k článku
Stavíme firewall (1)

Tak mě napadá, že ve článku by ještě mohl být odkaz
na to, jak vypadá hotový firewallový skript. Nebo
spíše jak bude vypadat po dokončení tohoto seriálu.

Napsal jsem tedy ukázková pravidla, hojně jsem je
okomentoval a vystavil na:

http://www.petricek.cz/mpfw/mpfw.sh.txt

Pokud to někomu pomůže budu rád :)

Opravdu muze byt TCP packet ve stavu NEW bez SYN
flagu? Mel jsem za to, ze takovyto packet je
ve stavu INVALID, nikoliv NEW.

???

-Yenya

Zminenou konstrukci jsem se inspiroval zde:
http://www.boingworld.com/workshops/linux/iptables-tutorial/iptables-tutorial/iptables-tutorial.html#AEN1632

Paranoidnejsi povahy povoluji routovani az po nastaveni firewallovacich pravidel.

Radek

$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -j REJECT #AUTH server

je dobre mit, bohuzel kernel vraci nevhodnou ICMP chybovou zpravu (tusim ze no route to host). Ta u vetsiny serveru, ktere se o ident pokouseji, zpusobi stejnou prodlevu. Druha vec je ta, ze je videt, ze je pocitac chranen firewallem, coz muze nekdy vadit. Myslim, ze nejvhodnejsi je:

$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -j REJECT #AUTH server --reject-with icmp-port-unreachable

to '#AUTH server' tam samozrejme nema co delat ;-).

Ano, mate pravdu. port-unreachable je lepsi nez prosty
REJECT. Jeste lepsi je ale --reject-with tcp-reset