[BSD] icmp limit

Gabor.Zelenak at hungarocontrol.hu Gabor.Zelenak at hungarocontrol.hu
2003. Sze. 5., P, 14:59:58 CEST 

a valasz a kerdesedre nem egyszeru.

set limits - errol volt mar szo
	( max <n> )
set timeouts - errol meg nem
	<protokoll>.<modosito> avagy

mint ahogy azt a neve is sugallja, kulonbozo
timeout-okat lehet vele megdefinialni. igy van ez
a _keep state_ eseten epp ugy mint a _modulate state_ esetenel is.
(ez a limits-re is vonatkozik!)

	tcp.fisrt - az elso csomagra
	tcp.established - amig fully lesz a konnekt
	tcp.closing (lasd a manualt...)
	tcp.finwait
	tcp.closed

	icmp.first
	icmp.error

	udp.first
	udp.single
	stb..

aztan meg ott magasodnak a TTL/MSS idozites parameterei.

az a gondom ezekkel a beallitasokkal, hogy meg
ekkor sem biztos, hogy az altalad - talan rosszul
ertelmezett: masodpercenkent X csomag/dgramm/uzenet cimu 
viselkedest erned el - hol van ebben a szures?! 

mi van akkor, ha teszem azt mind az osszes, 
a limits altal meghatarozott tabl.entry un. spoofed-uzenet?!
akkor ugyanott vagy - majdnem - mint az elejen.

sokkal egyszerubbnek tunne szamomra bizonyos primitiv
szervizek letiltasa: tcp:echo,chargen,discard,daytime...
udp:echo,chargen...stb. aztan az OpenBSD3.0+ tartalmazza
az un. _antispoof_ direktivat (tovabbiak a manualban)
valamint ott tornyosul meg elotted a _flags_ 
statuszok vizsgalata - lasd a privatban kuldott anyagot! - 
valamint a _keep state_/_(tcp)modulate state_ direktivaival 
valo jatszadozas.

en azt mondom, hogy tegy ugy, ahogy azt a guide mondja - 
lepesrol lepesre lodd be a pf.conf file-t. aztan ereszd ra
a halodra azt a programot, amit - meg ugyan nem kuldtem el,
de ha ohajtod, akkor elkuldom... :)

----------------------------------------------
--             Gabor Zelenak
----------------------------------------------
--          HUNGAROCONTROL
-- MATIAS Air Traffic Control System
----------------------------------------------
-- tel.: 36 1 296-9106
-- fax: 36 1 296-9182
-- mb: 36 30 343-1911
-- mailto:gabor.zelenak at hungarocontrol.hu
-- http://www.hungarocontrol.hu
----------------------------------------------
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sb20293B5D454552465Bsnlbxq'|dc
----------------------------------------------
-- 10 kind of human existing in the universe:
-- who knows binary numbers,
-- who doesn't.


> -----Original Message-----
> From: n13 [mailto:n13 at freemail.hu]
> Sent: Friday, September 05, 2003 12:14 PM
> To: Magyar BSD levlista
> Subject: Re: [BSD] icmp limit
> 
> 
> 
> ----- Original Message ----- 
> From: <Gabor.Zelenak at hungarocontrol.hu>
> To: <bsd at hu.freebsd.org>
> Sent: Friday, September 05, 2003 10:42 AM
> Subject: RE: [BSD] icmp limit
> 
> 
> mire gondolsz pontosan?
> 
> altalaban szeretned icmp/tcp syn flood ellen
> _beoltani_ a geped, vagy csak bizonyos portokat
> latnal el ezzel az opcioval?
> 
> Az egesz gepet...
> 
> amugy pedig - ha meg nem olvastad volna - ime
> egy kivalo link: http://www.obfuscation.org/ipf/
> 
> Olvastam , ill. meg + par pf.confot de ilyet nem talaltam...  : (
> 
> neztem hogy ilyet is lehet
> ( pass in on $ext_if proto icmp all keep state  ( max 3 ) 
> akkor csak 3x
> engedi - kiraly)
> de limitalni hogy lehet hogy csak  X  mennyiseget engedjen at
> masodpercenkent?
> 
> 
> 
> _______________________________________________
> BSD levlista
> BSD at hu.freebsd.org
> http://www.hu.freebsd.org/hu/mailman/listinfo/bsd
>

További információk a(z) BSD levelezőlistáról