-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Iskam samo da dopylnia neshto, zashtoto se setih, che mozhe
da ima batalni sceni sled prilaganeto na napisanoto tuk.
Po princip nedeite da izpolzvate PREROUTING i tablicata nat.
Napravete vsichko vyv verigata INPUT na tablicata filter. T.e.
praviloto da e ot roda na:
iptables -t filter -I INPUT -s ! $IP_IN_ISP_NET-p tcp -m tcp --dport 25:25 -j
REJECT --reject-with icmp-port-unreachable
i da e v sila vyrhu SMTP servera.
Mozhete da ukazhete, che hosta e nedostizhim (a ne samo port 25/tcp):
iptables -t filter -I INPUT -s ! $IP_IN_ISP_NET-p tcp -m tcp --dport 25:25 -j
REJECT --reject-with icmp-host-unreachable
Naposledyk sred mnogoto divotii, koito se nabliudavat v rodnoto internet
prostranstvo mnogo na moda izliza "modernata" zabrana za vsichko de shto
e ICMP. Obiknoveno zabranata se pravi na routera i vazhi za vytreshnite
mashini na mrezhata. Omryzna mi da govoria, che tova e malko efektivno i
zatova sega shte si spestia obiasneniata.
Shte imate problem, ako dostavchikyt vi ili vie ste zabranili izhodiashtite
ICMP paketi "TYPE 3". Ako te sa zabraneni shte se poluchi edin nepriaten
efect, koito shte oporochi obiasnenata predi tova shema. Eto i ilustracia na
efecta... Kogato vynshniat SMTP server se opita da vi predade vhodiasht za
vas elektronen poshtenski potok, toi shte podade zaiavka na 25/tcp za
inicirane na sesia. SMTP servera vi shte othvyrli paketa s ICMP otgovor
za nedostizhimost na mashinata ili porta. Ako ICMP paketa byde sprian ot
niakoi ot vashite routeri ili tozi na dostavchika vi, vynshnia SMTP server
niama da znae nishto za nedostizhimostta i shte opitva novi i novi opiti za
inicirane na vryzka. Tova shte dovede do zabaviane na pristigashtite
syobshtenia, zashtoto vyprosnia vynshen SMTP server shte se zabavi
s probite kym vashia server i niama da kontaktuva vednaga sys
sledvashtia v MX ierarhiata SMTP host.
Ako ICMP paketite ot tip 3 preminavat bezprepiatstveno i stignat do
vynshnia SMTP, koito se opitva da predade kym vas poshtesnki potok,
to togava vednaga sled poluchavaneto na ICMP paketa ot vashia
server shte kontaktuva sys sledvashtia MX v ierarhiata i zalysnenieto
shte e minimalno (ot poriadyka na 1-2 secundi) v sravnenie s priakoto
predavane kym vashia SMTP pri idealni (zabelezhete) uslovia.
Pozdravi
Vesselin Kolev
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQE+TNPn+48lZPXaa+MRAmyrAJ46A2VvLPkDWr8/98pKh5fKIKkf0gCgqYia
DhpZvPs8ND/1iIcBnT3+pxY=
=6VsM
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
