From: serdarkoylu@fisek.com.tr
Date: Mon 10 Jun 2002 - 20:44:32 EEST
Selamlar..
10 Jun 2002 21:27 EEST tarihinde yazmışsınız:
> Selam,
> Iptables temel bilgim var, aşagıdaki rule'ları bana ayrıntılı açıklayabilir
> misiniz?(flagleri anlamlarıyla), çok şey mi istedim:)
>
> Syn-flood protection:
> # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
-t yok. Demekki filter tablosundayız..
-A FORWARD, forward zinciri,
-p tcp, Protocol TCP ise...
--syn, syn flag set ise, yani bir yerden bağlantı başlatma isteği gelmişse.
-m limit, match (uydur) limit modülünü kullan..
--limit 1/s, saniyede bir paket (max) geliyorsa,
-j ACCEPT...
Bu kısaca, bir IP adresinden, sainye bir tek bağlantı yapılmasına imkan sağlıyor. SYN-FLOOD ataklarına karşı etkili bir çözümdür. Fakat, bu sadece firewall olarak çalışan makinelerde etkil olacaktır. Kabaca böyle açıklayabiliriz..
> Furtive port scanner:
> # iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m
> limit --limit 1/s -j ACCEPT
Burada fark, --tcp-flags sadece, bu ise gelen TCP paketlerinin, SYN,ACK,FIN,RST bayraklarından sadece RST bayrağı aktif olan paketleri belirtiyor. Bu FIN_WAIT çevirimi demektir. Eğer saniyede 1'den fazla bağlantıyı kapat bilgisi geliyorsa, bir port taramaya maruz kalmış olmanız büyük bir ihtimaldir.
>
> Ping of death:
> # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
> 1/s -j ACCEPT
>
Burada da fark, -p icmp ve --icmp-type echo-request değerleri. Ilki, ping'in kullandigi ICMP protocolunu, ikincisi bu paketlerden echo request (tam olarak ping komutu) paketini belirtiyor. Aynı şekilde, bu isteklerin saniyede birden fazla olması kabul edilmiyor.
Gerçi bu bilgiler çok açıklayıcı değil fakat, sanırım fikir vermeye yeterli olacaktır. Bir IPTABLES semineri vardı benim. Onda bu konularla ilgili bir takım bilgiler mevcut olacaktı...
Saygı ve sevgiler..
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------