vedekezes portscan ellen
David Beck
dbeck at freesoft.hu
1999. Jan. 8., P, 12:32:31 CET
>2) Az elozo hozzaszolo milyen verzioju BSD-t hasznal? Es ez valakinel
>tenyleg igy megy? Nekem 2.2.7-en az ipfw man-ja szerint: drop is an alias
>to deny. Annyira, hogy kiprobaltam, es tok mindegy, hogy
>ipfw delete 1
>ipfw add 1 deny tcp from egyikgep to any smtp
>vagy akar
>ipfw delete 1
>ipfw add 1 drop tcp from egyikgep to any smtp
>mindket esetben ugyanazt irja ki:
>00001 deny tcp from X.Y.U.V to any 25
>es raadasul ugyanugy is mukodik :-(, permission denied, nem pedig az a
>bizonyos connection refused. Nomost ha ez az enyemnel ujabb verziokban is
>igy van, akkor van egy tippem, Darren Reed ipfiltere tudtommal _tenyleg_ tud
>deny/drop konstrukciot. (Bar nem szerettem nagyon a szintaxisat amikor
>utoljara lattam.)
Jogos, pontatlant irtam. Valoban az ipfw csak eldobni vagy atengedni tudja a
csomagot. A man azt is irja, hogy van reject lehetoseg is ami ha jol sejtem
= refused. (deprecated) Ezert az ipfw-vel inkabb olyat tudsz, hogy amit
vissza akarsz utasitani, azt atengeded, es ott utasitod vissza.
Nekem a drop tetszik a legjobban, mert nem general forgalmat visszafele,
raadasul tobb portscannert kiakaszt vagy hosszu timeoutokra kenyszerit.
Valaszolva kerdesedre, nalam is 2.2.7 fut.
Hali, David.
További információk a(z) BSD levelezőlistáról