On Wed, Dec 28, 2005 at 07:02:10PM +0100, Gabor HALASZ wrote: > >Lehetne ezeket apache szinten szurni? > > Minek? Az apache flegman elutasitja egy rst packettel.
Kitudja milyen tamadasi feluletet nyujthat. Az apache szepen ki is szolgalja 200-as koddal, az OPTIONS / HTTP/1.1 eredmenye tobbek kozott: HTTP/1.1 200 OK Date: Wed, 28 Dec 2005 18:34:10 GMT Server: Apache Allow: GET,HEAD,POST,OPTIONS,TRACE > >Ill. attol megszunne a netfilter log? > > Meg kellene nezni, hogyan is terminalja ezeket a kapcsolatokat az apache > (nem kuld-e tudpla rts csomagot, akarmi...), miert ugrik ra a netfilter > conntrackja, mert elvben a http sessiont lezaro rst csomagot latod. > Conntrack table nezegetese, valami http session-t erto sniffer, pl > ethereal.... Koszi a tippeket, etherealt fogom bevetni. Azert furcsa, mert mint irtam a kiszolgalas remekul mukodik 99,99%-ban nincs is ilyen blokkolt packet. > >Talan valamilyen hibas protokoll kezeles MS oldalon? > > Nem, LiRul oldali hibas protokollkezeles :) Tessek szepen kiengedni a > reset csomagokat. Leirom akkor az OUTPUT lanc szuresem egyszerusitett valtozatat ami azon a masinan fut (annyiban egyszerusitett, hogy valos eletben az ICMP-ket is jobban szurom, mint pl. echo-request limit, de az a jelen gond fenyeben lenyegtelen) [ertelemszeruen mind -A OUTPUT-tal kezdodik]: -s 195.228.xx.xx -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -p tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -s 195.228.xx.xx -o eth0 -p icmp -j ACCEPT -s 195.228.xx.xx -o eth0 -p tcp -m multiport --dports 25,53,80,113,443 -j ACCEPT -s 195.228.xx.xx -o eth0 -p udp -m multiport --dports 53,123 -j ACCEPT -s 127.0.0.0/8 -d 127.0.0.0/8 -o lo -j ACCEPT -s 195.228.x.xx -d 195.228.xx.xx -o lo -j ACCEPT -m limit --limit 20/min -j LOG --log-prefix "Unallowed OUT: " Default policy pedig DROP. Nem egy bonyolult ruleset. Es meg lehetne sokkal restrictebb. A kerdeses csomagok egyertelmuen atszaladnak az elso szabalyon, a tobbire pedig meg jo, hogy nem matchelnek. > Meg altalaban mindent....szurni inkabb befele kellene. Ezzel nem ertek egyet, marmint nem csak befele. Akadalyozott mar meg egy fentihez hasonlo szabalysor egy buta php programozo sz.r kodja miatt meghakkolt gepre feljuttatott backdoort abban, hogy kapcsolodjon egy irc szerverre, ahol varta volna az utasitasokat. Thx. -- LiRul http://www.hixsplit.hu/ Un*x + HIX = hixsplit Lehet, de nem erdemes nelkule... _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
