vedekezes portscan ellen

[Zahemszky Gabor]

> Jogos, pontatlant irtam. Valoban az ipfw csak eldobni vagy atengedni tudja a 
> csomagot. A man azt is irja, hogy van reject lehetoseg is ami ha jol sejtem 

sejteni nem kell, mert a manual szo szerint leirja :-)

> = refused. (deprecated)  Ezert az ipfw-vel inkabb olyat tudsz, hogy amit 
> vissza akarsz utasitani, azt atengeded, es ott utasitod vissza.

Ha mar a reject-nel tartunk:
ipfw add 1 reject tcp from any to any 25
00001 unreach host tcp from any to any 25

az eredmeny.  Trukkos :-)  En ezenkivul meg megprobaltam a reset-et is, de
noha tcpdump szerint ugyanaz az eredmenye mint a nem is nyitott portnak,
a rejet-alt ill nem figyelt port szokas szerint megkulonboztetheto volt.
(Vagy csak valamit nagyon elszurtam?)  Raadasul valamikor mintha pont a reset
kodban lett volna valami zur.  De hogy az ez a verzio-e, vagy masik (raadasul,
hogy patch-eltem vagy nem) azt mar nem tudom.

> Nekem a drop tetszik a legjobban, mert nem general forgalmat visszafele,
> raadasul tobb portscannert kiakaszt vagy hosszu timeoutokra kenyszerit.
> 
> Valaszolva kerdesedre, nalam is 2.2.7 fut.

Valaki 2.2.8-cal vagy stable ill current verziokkal nem nyekkenne valamit?
Legalabb annyit, hogy az ipfw man szerint van-e ra lehetoseg.

ZGabor at CoDe dot HU

Ui: kozben nezegettem a tcpd-t es nekem is ugy tunik, hogy nem lehet vele
ilyet csinalni.  Sajnos.
-- 
#!/bin/ksh
Z='21N16I25C25E30, 40M30E33E25T15U!' ;IFS=' ABCDEFGHIJKLMNOPQRSTUVWXYZ ';set $Z ;for i { [[ $i = ? ]]&&print $i&&break;[[ $i = ??? ]]&&j=$i&&i=${i%?};typeset -i40 i=8#$i;print -n ${i#???};[[ "$j" = ??? ]]&&print -n "${j#??} "&&j=;typeset +i i;};IFS=' 0123456789 ';set $Z;X=;for i { [[ $i = , ]]&&i=2;[[ $i = ?? ]]||typeset -l i;X="$X $i";typeset +l i;};print "$X"