Вопрос по iptables

Valentin Davydov написал(а) к Alexey Vissarionov в Mar 15 21:51:28 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org>
> Date: Fri, 27 Mar 2015 12:34:56 +0300
>
> >> iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \
> >> -m state --state NEW -j REJECT --reject-with tcp-reset
> >> Обрати внимание: именно reject и именно tcp-reset.
> VD> Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить
> VD> в discard tcp service). Нечего сеть его syncами и твоими rstами
> VD> засорять.
>
>Коллеги, посмотрите: к нам в эху ввалился головожопый ламер.

Ну так объясни. Вот в локалке завёлся вирус, он ищет открытые релеи.
Послал tcp syn на случайный адрес 25-й порт, через миллисекунду
получил rst, тут же пошёл на следующий адрес. Итого 1000 пакетов
в секунду. А теперь возьмём дроп вместо rst: послав syn, вирус ждёт
ответа, причём не миллисекунды, а секунды (типична ситуация, когда
сервер с той стороны, к примеру, резолвит что-то в dns прежде, чем
принять соединение, так что сильно быстрее не получится). Итого
трафик на три порядка меньше. Где я ошибаюсь?

Вал. Дав.
--- ifmail v.2.15dev5.4

Pavel Savchenko написал(а) к Sergey Anohin в Mar 15 16:59:02 по местному времени:

Здpавствуй, Sergey!


SA> У меня смежный вопpос к окpужающим:

SA> Нафига в последних веpсиях линуксов в каждом дистpибутиве запилили
SA> каждый свой файpвол? :) Чем иптаблес-то не угодил?

SA> Щас в убунте свой, в центоси свой :) Конечно можно ставить иптаблес из
SA> pепозитоpиев, но все же.

SA> Bye, Pavel Logunov, 26 маpта 15
SA> --- FIPS/IP <build 01.14>
SA> * Origin: новый оpиджн (2:5034/10.1)

Если быть точным, то iptables не фаервол, а фронтенд. Фаервол в линуксах известен под именем netfilter

С уважением - Pavel
--- -Пиши, старик, пиши! Мы тебя не покинем.

Alexey Vissarionov написал(а) к Andrew Kant в Mar 15 17:45:00 по местному времени:

Доброго времени суток, Andrew!
27 Mar 2015 19:41:46, ты -> мне:

>>>> iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \
>>>> -m state --state NEW -j REJECT --reject-with tcp-reset
>>>> Обрати внимание: именно reject и именно tcp-reset.
VD>>> Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить
VD>>> в discard tcp service). Нечего сеть его syncами и твоими rstами
VD>>> засорять.
AV>> Коллеги, посмотрите: к нам в эху ввалился головожопый ламер.
AK> Так, для размышления:
AK> http://www.psychologies.ru/self-know...vior/_article/
AK> neznanie-sila-pochemu-nekompetentnye-lyudi-ne-pon/

Там, скорее, не парабола, а функция, обратная кривой гамма-распределения (http://pics.rsh.ru/img/gamma<b>distr...offpqrf4.png).

Но все остальное таки да, вполне правдоподобно...

Даже в рассматриваемом случае я бы еще понял, если бы VD просохатил пункт техзадания, в котором сказано, что запрет относится к клиенту (сущности дружественной), и предложил -j TARPIT или даже -j POISON, но зачем палить правила пакетного фильтра, когда это не приносит дополнительной пользы?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Если сильно упираться рогами, можно отбросить копыта
--- /bin/vi

Alexey Vissarionov написал(а) к Pavel Savchenko в Mar 15 17:55:22 по местному времени:

Доброго времени суток, Pavel!
29 Mar 2015 16:59:02, ты -> Sergey Anohin:

SA>> Нафига в последних веpсиях линуксов в каждом дистpибутиве запилили
SA>> каждый свой файpвол? :) Чем иптаблес-то не угодил?
PS> Если быть точным, то iptables не фаервол, а фронтенд. Фаервол в
PS> линуксах известен под именем netfilter

А если еще точнее, то даже целый кластер эхотажных серверов с netfilter может являться всего лишь частью того, что называется firewall :-)


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Почему клинические идиоты лечатся амбулаторно?!
--- /bin/vi

Sergey Anohin написал(а) к Pavel Savchenko в Mar 15 00:23:25 по местному времени:

Нello Pavel* *Savchenko
PS> Если быть точным, то iptables не фаеpвол, а фpонтенд. Фаеpвол в линуксах
PS> известен под именем netfilter

Получается у каждого дистpиба будет свой фpонтэнд по дефолту? Явно нехоpошая тенденция.

Bye, Pavel Savchenko, 30 маpта 15
--- FIPS/IP <build 01.14>

Andrew Kant написал(а) к Alexey Vissarionov в Mar 15 10:43:33 по местному времени:

Нello Alexey!

Sunday March 29 2015 17:45, Alexey Vissarionov wrote to Andrew Kant:
AV>>> Коллеги, посмотрите: к нам в эху ввалился головожопый ламер.
AK>> Так, для размышления:
AK>> http://www.psychologies.ru/self-know...vior/_article/
AK>> neznanie-sila-pochemu-nekompetentnye-lyudi-ne-pon/

AV> Там, скорее, не парабола, а функция, обратная кривой гамма-распределения
AV> (http://pics.rsh.ru/img/gamma<b>distr...offpqrf4.png).

AV> Но все остальное таки да, вполне правдоподобно...

AV> Даже в рассматриваемом случае я бы еще понял, если бы VD просохатил
AV> пункт техзадания, в котором сказано, что запрет относится к клиенту
AV> (сущности дружественной), и предложил -j TARPIT или даже -j POISON, но
AV> зачем палить правила пакетного фильтра, когда это не приносит
AV> дополнительной пользы?
Речь не о том, как правильно бороться со спамерами, а о том, что ты позволил себе то, что можно простить при близком знакомстве в своей компании. Но не в эхе. Сам повел себя как последний ламер. Имеешь свое мнение - возрази, приведи аргументы, но не оценивай собеседника, тем более так по-хамски.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Valentin Davydov написал(а) к Alexey Vissarionov в Mar 15 15:12:28 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org>
> Date: Sun, 29 Mar 2015 17:45:00 +0300
>
> >>>> iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \
> >>>> -m state --state NEW -j REJECT --reject-with tcp-reset
> >>>> Обрати внимание: именно reject и именно tcp-reset.
> VD>>> Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить
> VD>>> в discard tcp service). Нечего сеть его syncами и твоими rstами
> VD>>> засорять.
> AV>> Коллеги, посмотрите: к нам в эху ввалился головожопый ламер.
> AK> Так, для размышления:
> AK> http://www.psychologies.ru/self-know...vior/_article/
> AK> neznanie-sila-pochemu-nekompetentnye-lyudi-ne-pon/
>
>Там, скорее, не парабола, а функция, обратная кривой гамма-распределения
>(http://pics.rsh.ru/img/gamma<b>distr...offpqrf4.png).
>
>Но все остальное таки да, вполне правдоподобно...
>
>Даже в рассматриваемом случае я бы еще понял, если бы VD просохатил пункт
>техзадания, в котором сказано, что запрет относится к клиенту (сущности
>дружественной),

Ежели б клиент был сущностью друженственной, то можно было бы запретить
25-й tcp порт прямо на клиенте и не заморачиваться с сабжем. Впрочем,
топикстартер ничего не сказал про то, зачем именно ему нужно закрыть
25-й порт, так что тут каждый делает свои предположения.

>и предложил -j TARPIT

А вот тарпит я как раз и предложил (по ламерству обозвав его discardом).

Вал. Дав.

--- ifmail v.2.15dev5.4

Alexey Vissarionov написал(а) к Andrew Kant в Mar 15 00:03:00 по местному времени:

Доброго времени суток, Andrew!
30 Mar 2015 10:43:32, ты -> мне:

AV>> Даже в рассматриваемом случае я бы еще понял, если бы VD просохатил
AV>> пункт техзадания, в котором сказано, что запрет относится к клиенту
AV>> (сущности дружественной), и предложил -j TARPIT или даже -j POISON,
AV>> но зачем палить правила пакетного фильтра, когда это не приносит
AV>> дополнительной пользы?
AK> Речь не о том, как правильно бороться со спамерами, а о том, что ты
AK> позволил себе то, что можно простить при близком знакомстве в своей
AK> компании. Но не в эхе.

Не могу сказать, что близко знаком с этим человеком, но за те несколько лет, которые я его наблюдаю в различных эхах, все же успел составить определенное мнение - увы, не особо лестное.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Последним смеется тот, кто стреляет первым
--- /bin/vi

Andrew Kant написал(а) к Alexey Vissarionov в Mar 15 07:46:13 по местному времени:

Нello Alexey!

Tuesday March 31 2015 00:03, Alexey Vissarionov wrote to Andrew Kant:

AV>>> Даже в рассматриваемом случае я бы еще понял, если бы VD
AV>>> просохатил пункт техзадания, в котором сказано, что запрет
AV>>> относится к клиенту (сущности дружественной), и предложил -j
AV>>> TARPIT или даже -j POISON, но зачем палить правила пакетного
AV>>> фильтра, когда это не приносит дополнительной пользы?
AK>> Речь не о том, как правильно бороться со спамерами, а о том, что ты
AK>> позволил себе то, что можно простить при близком знакомстве в своей
AK>> компании. Но не в эхе.

AV> Не могу сказать, что близко знаком с этим человеком, но за те несколько
AV> лет, которые я его наблюдаю в различных эхах, все же успел составить
AV> определенное мнение - увы, не особо лестное.

Ты меня все больше и больше убеждаешь, что ты в левой ветке параболы.
Да и изначальная фраза "Обрати внимание: именно ..." без объяснений почему - явная провокация, то есть ждал, кто клюнет. Фи, порудчик.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Pavel Savchenko написал(а) к Sergey Anohin в Apr 15 19:19:52 по местному времени:

Здpавствуй, Sergey!

SA> Получается у каждого дистpиба будет свой фpонтэнд по дефолту? Явно
SA> нехоpошая тенденция.

Ну это ж типа конкуренция :) А чем плоха тенденция-то? Если имеется ввиду "болезнь" опенсорса, при которой софт (как правило и тем более последнее время) не вылизывается, а наполняется новыми свистоперделками - то к этому уже пора бы привыкнуть.


С уважением - Pavel
--- -Пиши, старик, пиши! Мы тебя не покинем.