From: Serdar KOYLU (serdarkoylu@yahoo.com)
Date: Fri 06 Jul 2001 - 14:05:47 EEST
Selamlar..
--- Nilgün Belma Bugüner <nilgun@fide.org> wrote:
>
> Selam,
>
> Halen kullanmakta olduğum ipchains kurallarımı sizinle
> paylaşacağım. Hiç bilmeyenler de kullansın diye.
>
> Burada tek değiştireceğiniz 212.156.4.4 ve 212.156.4.20 adresleri.
> Bunların yerine bağlandığınız isp dns adreslerini yazacaksınız.
> Birkaç isp den bağlanıyorsanız satırı hemen altına kopyalayıp adresi
> yazmanız yeterli olur.
> Bu kural ailesinin özelliği sizin başlatmadığınız hiç bir dış
> bağlantıya
> izin vermemesi. 53 porta tcp izni de yoktur. 40 yılda bir tcp
> istenirse
> bağlamaz. Hattı keser yeniden bağlanırsınız. Düzelir.
...
Elimizle kendimize nuke DoS attack yapmismi oluruz ?
> -A input -s 212.156.4.4/255.255.255.255 53:53 -d 0.0.0.0/0.0.0.0
> 1024:5000 -p 17 -j ACCEPT
> -A input -s 212.156.4.20/255.255.255.255 53:53 -d 0.0.0.0/0.0.0.0
> 1024:5000 -p 17 -j ACCEPT
17 = UDP. Oysa domain paketleri 512 bayttan uzunsa, DNS Cagrilari TCP
uzerinden yapilir. Cunku UDP paketi bu kadarcik bilgi tasiyabilir. Yani
bu guvenlik icin dusunulurken servis saglama garantimizi azaltiyor. DNS
paketlerini elle hazirlamadigimiz icin, layer 4+'taki uygulamalara DNS
paket boyunu 512'den fazla yapmayin diyemeyiz. Bence bu porttan TCP
cagrilarina da izin vermemiz gerekir.
Saygi ve sevgiler.
__________________________________________________
Do You Yahoo!?
Get personalized email addresses from Yahoo! Mail
http://personal.mail.yahoo.com/
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------