#21
|
|||
|
|||
Re: Вопрос по iptables
Valentin Davydov написал(а) к Alexey Vissarionov в Mar 15 21:51:28 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> > From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org> > Date: Fri, 27 Mar 2015 12:34:56 +0300 > > >> iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \ > >> -m state --state NEW -j REJECT --reject-with tcp-reset > >> Обрати внимание: именно reject и именно tcp-reset. > VD> Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить > VD> в discard tcp service). Нечего сеть его syncами и твоими rstами > VD> засорять. > >Коллеги, посмотрите: к нам в эху ввалился головожопый ламер. Ну так объясни. Вот в локалке завёлся вирус, он ищет открытые релеи. Послал tcp syn на случайный адрес 25-й порт, через миллисекунду получил rst, тут же пошёл на следующий адрес. Итого 1000 пакетов в секунду. А теперь возьмём дроп вместо rst: послав syn, вирус ждёт ответа, причём не миллисекунды, а секунды (типична ситуация, когда сервер с той стороны, к примеру, резолвит что-то в dns прежде, чем принять соединение, так что сильно быстрее не получится). Итого трафик на три порядка меньше. Где я ошибаюсь? Вал. Дав. --- ifmail v.2.15dev5.4 |
#22
|
|||
|
|||
RE: Вопpос по iptables
Pavel Savchenko написал(а) к Sergey Anohin в Mar 15 16:59:02 по местному времени:
Здpавствуй, Sergey! SA> У меня смежный вопpос к окpужающим: SA> Нафига в последних веpсиях линуксов в каждом дистpибутиве запилили SA> каждый свой файpвол? :) Чем иптаблес-то не угодил? SA> Щас в убунте свой, в центоси свой :) Конечно можно ставить иптаблес из SA> pепозитоpиев, но все же. SA> Bye, Pavel Logunov, 26 маpта 15 SA> --- FIPS/IP <build 01.14> SA> * Origin: новый оpиджн (2:5034/10.1) Если быть точным, то iptables не фаервол, а фронтенд. Фаервол в линуксах известен под именем netfilter С уважением - Pavel --- -Пиши, старик, пиши! Мы тебя не покинем. |
#23
|
|||
|
|||
Вопрос по iptables
Alexey Vissarionov написал(а) к Andrew Kant в Mar 15 17:45:00 по местному времени:
Доброго времени суток, Andrew! 27 Mar 2015 19:41:46, ты -> мне: >>>> iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \ >>>> -m state --state NEW -j REJECT --reject-with tcp-reset >>>> Обрати внимание: именно reject и именно tcp-reset. VD>>> Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить VD>>> в discard tcp service). Нечего сеть его syncами и твоими rstами VD>>> засорять. AV>> Коллеги, посмотрите: к нам в эху ввалился головожопый ламер. AK> Так, для размышления: AK> http://www.psychologies.ru/self-know...vior/_article/ AK> neznanie-sila-pochemu-nekompetentnye-lyudi-ne-pon/ Там, скорее, не парабола, а функция, обратная кривой гамма-распределения (http://pics.rsh.ru/img/gamma<b>distr...offpqrf4.png). Но все остальное таки да, вполне правдоподобно... Даже в рассматриваемом случае я бы еще понял, если бы VD просохатил пункт техзадания, в котором сказано, что запрет относится к клиенту (сущности дружественной), и предложил -j TARPIT или даже -j POISON, но зачем палить правила пакетного фильтра, когда это не приносит дополнительной пользы? -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Если сильно упираться рогами, можно отбросить копыта --- /bin/vi |
#24
|
|||
|
|||
Вопpос по iptables
Alexey Vissarionov написал(а) к Pavel Savchenko в Mar 15 17:55:22 по местному времени:
Доброго времени суток, Pavel! 29 Mar 2015 16:59:02, ты -> Sergey Anohin: SA>> Нафига в последних веpсиях линуксов в каждом дистpибутиве запилили SA>> каждый свой файpвол? :) Чем иптаблес-то не угодил? PS> Если быть точным, то iptables не фаервол, а фронтенд. Фаервол в PS> линуксах известен под именем netfilter А если еще точнее, то даже целый кластер эхотажных серверов с netfilter может являться всего лишь частью того, что называется firewall :-) -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Почему клинические идиоты лечатся амбулаторно?! --- /bin/vi |
#25
|
|||
|
|||
Re: Вопpос по iptables
Sergey Anohin написал(а) к Pavel Savchenko в Mar 15 00:23:25 по местному времени:
Нello Pavel* *Savchenko PS> Если быть точным, то iptables не фаеpвол, а фpонтенд. Фаеpвол в линуксах PS> известен под именем netfilter Получается у каждого дистpиба будет свой фpонтэнд по дефолту? Явно нехоpошая тенденция. Bye, Pavel Savchenko, 30 маpта 15 --- FIPS/IP <build 01.14> |
#26
|
|||
|
|||
Вопрос по iptables
Andrew Kant написал(а) к Alexey Vissarionov в Mar 15 10:43:33 по местному времени:
Нello Alexey! Sunday March 29 2015 17:45, Alexey Vissarionov wrote to Andrew Kant: AV>>> Коллеги, посмотрите: к нам в эху ввалился головожопый ламер. AK>> Так, для размышления: AK>> http://www.psychologies.ru/self-know...vior/_article/ AK>> neznanie-sila-pochemu-nekompetentnye-lyudi-ne-pon/ AV> Там, скорее, не парабола, а функция, обратная кривой гамма-распределения AV> (http://pics.rsh.ru/img/gamma<b>distr...offpqrf4.png). AV> Но все остальное таки да, вполне правдоподобно... AV> Даже в рассматриваемом случае я бы еще понял, если бы VD просохатил AV> пункт техзадания, в котором сказано, что запрет относится к клиенту AV> (сущности дружественной), и предложил -j TARPIT или даже -j POISON, но AV> зачем палить правила пакетного фильтра, когда это не приносит AV> дополнительной пользы? Речь не о том, как правильно бороться со спамерами, а о том, что ты позволил себе то, что можно простить при близком знакомстве в своей компании. Но не в эхе. Сам повел себя как последний ламер. Имеешь свое мнение - возрази, приведи аргументы, но не оценивай собеседника, тем более так по-хамски. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#27
|
|||
|
|||
Re: Вопрос по iptables
Valentin Davydov написал(а) к Alexey Vissarionov в Mar 15 15:12:28 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> > From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org> > Date: Sun, 29 Mar 2015 17:45:00 +0300 > > >>>> iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \ > >>>> -m state --state NEW -j REJECT --reject-with tcp-reset > >>>> Обрати внимание: именно reject и именно tcp-reset. > VD>>> Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить > VD>>> в discard tcp service). Нечего сеть его syncами и твоими rstами > VD>>> засорять. > AV>> Коллеги, посмотрите: к нам в эху ввалился головожопый ламер. > AK> Так, для размышления: > AK> http://www.psychologies.ru/self-know...vior/_article/ > AK> neznanie-sila-pochemu-nekompetentnye-lyudi-ne-pon/ > >Там, скорее, не парабола, а функция, обратная кривой гамма-распределения >(http://pics.rsh.ru/img/gamma<b>distr...offpqrf4.png). > >Но все остальное таки да, вполне правдоподобно... > >Даже в рассматриваемом случае я бы еще понял, если бы VD просохатил пункт >техзадания, в котором сказано, что запрет относится к клиенту (сущности >дружественной), Ежели б клиент был сущностью друженственной, то можно было бы запретить 25-й tcp порт прямо на клиенте и не заморачиваться с сабжем. Впрочем, топикстартер ничего не сказал про то, зачем именно ему нужно закрыть 25-й порт, так что тут каждый делает свои предположения. >и предложил -j TARPIT А вот тарпит я как раз и предложил (по ламерству обозвав его discardом). Вал. Дав. --- ifmail v.2.15dev5.4 |
#28
|
|||
|
|||
Вопрос по iptables
Alexey Vissarionov написал(а) к Andrew Kant в Mar 15 00:03:00 по местному времени:
Доброго времени суток, Andrew! 30 Mar 2015 10:43:32, ты -> мне: AV>> Даже в рассматриваемом случае я бы еще понял, если бы VD просохатил AV>> пункт техзадания, в котором сказано, что запрет относится к клиенту AV>> (сущности дружественной), и предложил -j TARPIT или даже -j POISON, AV>> но зачем палить правила пакетного фильтра, когда это не приносит AV>> дополнительной пользы? AK> Речь не о том, как правильно бороться со спамерами, а о том, что ты AK> позволил себе то, что можно простить при близком знакомстве в своей AK> компании. Но не в эхе. Не могу сказать, что близко знаком с этим человеком, но за те несколько лет, которые я его наблюдаю в различных эхах, все же успел составить определенное мнение - увы, не особо лестное. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Последним смеется тот, кто стреляет первым --- /bin/vi |
#29
|
|||
|
|||
Вопрос по iptables
Andrew Kant написал(а) к Alexey Vissarionov в Mar 15 07:46:13 по местному времени:
Нello Alexey! Tuesday March 31 2015 00:03, Alexey Vissarionov wrote to Andrew Kant: AV>>> Даже в рассматриваемом случае я бы еще понял, если бы VD AV>>> просохатил пункт техзадания, в котором сказано, что запрет AV>>> относится к клиенту (сущности дружественной), и предложил -j AV>>> TARPIT или даже -j POISON, но зачем палить правила пакетного AV>>> фильтра, когда это не приносит дополнительной пользы? AK>> Речь не о том, как правильно бороться со спамерами, а о том, что ты AK>> позволил себе то, что можно простить при близком знакомстве в своей AK>> компании. Но не в эхе. AV> Не могу сказать, что близко знаком с этим человеком, но за те несколько AV> лет, которые я его наблюдаю в различных эхах, все же успел составить AV> определенное мнение - увы, не особо лестное. Ты меня все больше и больше убеждаешь, что ты в левой ветке параболы. Да и изначальная фраза "Обрати внимание: именно ..." без объяснений почему - явная провокация, то есть ждал, кто клюнет. Фи, порудчик. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#30
|
|||
|
|||
Re: Вопpос по iptables
Pavel Savchenko написал(а) к Sergey Anohin в Apr 15 19:19:52 по местному времени:
Здpавствуй, Sergey! SA> Получается у каждого дистpиба будет свой фpонтэнд по дефолту? Явно SA> нехоpошая тенденция. Ну это ж типа конкуренция :) А чем плоха тенденция-то? Если имеется ввиду "болезнь" опенсорса, при которой софт (как правило и тем более последнее время) не вылизывается, а наполняется новыми свистоперделками - то к этому уже пора бы привыкнуть. С уважением - Pavel --- -Пиши, старик, пиши! Мы тебя не покинем. |