The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как правильно в iptables увеличить TTL?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как правильно в iptables увеличить TTL?"
Сообщение от Vladimir emailИскать по авторуВ закладки on 11-Сен-03, 11:30  (MSK)
Что то не работает правило :-( Кто может подсказать как это сделать и если можно синтаксис написания этого правила ?
Сейчас пока вот такое:
#iptables -t mangle -A PREROUTING -o eth0 -j TTL --ttl-set 64
>iptables: No chain/target/match by that name
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Как правильно в iptables увеличить TTL?"
Сообщение от Michael emailИскать по авторуВ закладки on 11-Сен-03, 17:46  (MSK)
>Что то не работает правило :-( Кто может подсказать как это сделать
>и если можно синтаксис написания этого правила ?
>Сейчас пока вот такое:
>#iptables -t mangle -A PREROUTING -o eth0 -j TTL --ttl-set 64
>>iptables: No chain/target/match by that name

а какой смысл? не вижу абсолютно...

я попробовал у себя, ругается:
iptables v1.2.8: Can't use -o with PREROUTING

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Как правильно в iptables увеличить TTL?"
Сообщение от avl emailИскать по авторуВ закладки on 23-Сен-03, 18:31  (MSK)
>Что то не работает правило :-( Кто может подсказать как это сделать
>и если можно синтаксис написания этого правила ?
>Сейчас пока вот такое:
>#iptables -t mangle -A PREROUTING -o eth0 -j TTL --ttl-set 64
>>iptables: No chain/target/match by that name

цепочка PREROUTING идет до routing discusion, так что использовать -o нельзя. А вот если написать:
iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 64, то отработает

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Как правильно в iptables увеличить TTL?"
Сообщение от Searcher Искать по авторуВ закладки on 04-Ноя-03, 16:11  (MSK)
>>Что то не работает правило :-( Кто может подсказать как это сделать
>>и если можно синтаксис написания этого правила ?
>>Сейчас пока вот такое:
>>#iptables -t mangle -A PREROUTING -o eth0 -j TTL --ttl-set 64
>>>iptables: No chain/target/match by that name
>
>цепочка PREROUTING идет до routing discusion, так что использовать -o нельзя. А
>вот если написать:
>iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 64, то
>отработает


Нифига подобного!

Вот:

# iptables -t mangle -A PREROUTING  -j TTL --ttl-inc 1
iptables: No chain/target/match by that name
# iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64
iptables: No chain/target/match by that name
# uname -a
Linux myhost 2.4.20 #10 Пнд Жов 13 17:20:32 EEST 2003 i686 unknown

Как быть?
В мане к iptables 1.2.7a нету даже ничего для target TTL - тоесть вообще нету такого действия!!!

Помогите разобраться плиз!!! Куда оно делось!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Как правильно в iptables увеличить TTL?"
Сообщение от Searcher Искать по авторуВ закладки on 04-Ноя-03, 16:26  (MSK)
>>>Что то не работает правило :-( Кто может подсказать как это сделать
>>>и если можно синтаксис написания этого правила ?
>>>Сейчас пока вот такое:
>>>#iptables -t mangle -A PREROUTING -o eth0 -j TTL --ttl-set 64
>>>>iptables: No chain/target/match by that name
>>
>>цепочка PREROUTING идет до routing discusion, так что использовать -o нельзя. А
>>вот если написать:
>>iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 64, то
>>отработает
>
>
>Нифига подобного!
>
>Вот:
>
># iptables -t mangle -A PREROUTING  -j TTL --ttl-inc 1
>iptables: No chain/target/match by that name
># iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64
>iptables: No chain/target/match by that name
># uname -a
>Linux myhost 2.4.20 #10 Пнд Жов 13 17:20:32 EEST 2003 i686 unknown
>
>
>Как быть?
>В мане к iptables 1.2.7a нету даже ничего для target TTL -
>тоесть вообще нету такого действия!!!
>
>Помогите разобраться плиз!!! Куда оно делось!

Не работает что с указанием интерфейса что без него, что установка ттл что уменьшение?увеличение - ругается  что "No chain/target/match by that name"
действие ТТЛ куда-то загадочн?м образом молча пропало!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Как правильно в iptables увеличить TTL?"
Сообщение от junior emailИскать по авторуВ закладки on 05-Ноя-03, 08:48  (MSK)
Всё работает, просто откомпилировать нужно всё грамотно, по умолчанию ничего не включено.

root@host# iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64
root@host# iptables -t mangle -L PREROUTING -v
Chain PREROUTING (policy ACCEPT 111 packets, 23546 bytes)
pkts bytes target     prot opt in     out     source               destination
   96  6676 TTL        all  --  eth0   any     anywhere             anywhere            TTL set to 64

Удачи.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Как правильно в iptables увеличить TTL?"
Сообщение от Searcher Искать по авторуВ закладки on 05-Ноя-03, 10:52  (MSK)
>Всё работает, просто откомпилировать нужно всё грамотно, по умолчанию ничего не включено.
>
>
>root@host# iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64
>
>root@host# iptables -t mangle -L PREROUTING -v
>Chain PREROUTING (policy ACCEPT 111 packets, 23546 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>   96  6676 TTL      
>  all  --  eth0   any  
>   anywhere        
>     anywhere      
>      TTL set to 64
>
>Удачи.

Я не из тех кто работает на дефолтном :-) я типа линуксоид с фришн?м уклоном

Вот мои опции кернела:

#
# Networking options
#
CONFIG_PACKET=y
CONFIG_PACKET_MMAP=y
# CONFIG_NETLINK_DEV is not set
CONFIG_NETFILTER=y
CONFIG_NETFILTER_DEBUG=y
CONFIG_FILTER=y
CONFIG_UNIX=y
CONFIG_INET=y
CONFIG_IP_MULTICAST=y
# CONFIG_IP_ADVANCED_ROUTER is not set
# CONFIG_IP_PNP is not set
# CONFIG_NET_IPIP is not set
# CONFIG_NET_IPGRE is not set
# CONFIG_IP_MROUTE is not set
# CONFIG_ARPD is not set
# CONFIG_INET_ECN is not set
# CONFIG_SYN_COOKIES is not set

#
#   IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_FTP=y
# CONFIG_IP_NF_IRC is not set
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=y
CONFIG_IP_NF_MATCH_MAC=y
CONFIG_IP_NF_MATCH_PKTTYPE=y
CONFIG_IP_NF_MATCH_MARK=y
CONFIG_IP_NF_MATCH_MULTIPORT=y
CONFIG_IP_NF_MATCH_TOS=y
CONFIG_IP_NF_MATCH_ECN=y
CONFIG_IP_NF_MATCH_DSCP=y
CONFIG_IP_NF_MATCH_AH_ESP=y
CONFIG_IP_NF_MATCH_LENGTH=y
CONFIG_IP_NF_MATCH_TTL=y
CONFIG_IP_NF_MATCH_TCPMSS=y
CONFIG_IP_NF_MATCH_HELPER=y
CONFIG_IP_NF_MATCH_STATE=y
CONFIG_IP_NF_MATCH_CONNTRACK=y
CONFIG_IP_NF_MATCH_UNCLEAN=y
CONFIG_IP_NF_MATCH_OWNER=y
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=y
CONFIG_IP_NF_TARGET_MIRROR=y
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
CONFIG_IP_NF_TARGET_REDIRECT=y
CONFIG_IP_NF_NAT_LOCAL=y
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_FTP=y
CONFIG_IP_NF_MANGLE=y
CONFIG_IP_NF_TARGET_TOS=y
CONFIG_IP_NF_TARGET_ECN=y
CONFIG_IP_NF_TARGET_DSCP=y
CONFIG_IP_NF_TARGET_MARK=y
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y
CONFIG_IP_NF_TARGET_TCPMSS=y
CONFIG_IP_NF_ARPTABLES=y
CONFIG_IP_NF_ARPFILTER=y
# CONFIG_IPV6 is not set
# CONFIG_KHTTPD is not set
# CONFIG_ATM is not set
# CONFIG_VLAN_8021Q is not set
# CONFIG_IPX is not set
# CONFIG_ATALK is not set


Система: слака, ядро 2.4.20
iptables 1.2.7a

ЗЫ: плиз, указывайте uname -a и iptables --version !!!!!!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Как правильно в iptables увеличить TTL?"
Сообщение от junior emailИскать по авторуВ закладки on 05-Ноя-03, 21:09  (MSK)
# uname -a
Linux My.Super.Server.Ru 2.4.22-bk45 #2 Tue Nov 4 16:37:46 YEKT 2003 i686 unknown unknown GNU/Linux
# iptables -V
iptables v1.2.9
> Система: слака, ядро 2.4.20
> iptables 1.2.7a
Гы..:)))
А ещё "типа линуксоид с фришн?м уклоном " :))
Уже давно версии обновить бы нужно :))) Ну да дело вкуса.

Сетевые опции ядра:

#
# Networking options
#
CONFIG_PACKET=y
# CONFIG_PACKET_MMAP is not set
# CONFIG_NETLINK_DEV is not set
CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set
CONFIG_FILTER=y
CONFIG_UNIX=y
CONFIG_INET=y
CONFIG_IP_MULTICAST=y
# CONFIG_IP_ADVANCED_ROUTER is not set
# CONFIG_IP_PNP is not set
# CONFIG_NET_IPIP is not set
# CONFIG_NET_IPGRE is not set
# CONFIG_IP_MROUTE is not set
CONFIG_ARPD=y
CONFIG_INET_ECN=y
CONFIG_SYN_COOKIES=y

А тут фильтрик:

#
#   IP: Netfilter Configuration
#
CONFIG_IP_NF_NETLINK=m
CONFIG_IP_NF_CONNTRACK=m
CONFIG_IP_NF_NETLINK_CONNTRACK=m
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_AMANDA=m
CONFIG_IP_NF_TFTP=m
CONFIG_IP_NF_IRC=m
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_QUOTA=m
CONFIG_IP_NF_POOL=m
CONFIG_IP_POOL_STATISTICS=y
CONFIG_IP_NF_MATCH_IPRANGE=m
CONFIG_IP_NF_MATCH_MAC=m
CONFIG_IP_NF_MATCH_PKTTYPE=m
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_MPORT=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_TIME=m
CONFIG_IP_NF_MATCH_RANDOM=m
CONFIG_IP_NF_MATCH_PSD=m
CONFIG_IP_NF_MATCH_OSF=m
CONFIG_IP_NF_MATCH_FUZZY=m
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_MATCH_HELPER=m
CONFIG_IP_NF_MATCH_STATE=m
CONFIG_IP_NF_MATCH_CONNBYTES=m
CONFIG_IP_NF_MATCH_CONNLIMIT=m
CONFIG_IP_NF_MATCH_CONNTRACK=m
CONFIG_IP_NF_MATCH_UNCLEAN=m
CONFIG_IP_NF_MATCH_STRING=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_MIRROR=m
CONFIG_IP_NF_NAT=m
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_IP_NF_NAT_AMANDA=m
CONFIG_IP_NF_NAT_LOCAL=y
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=m
CONFIG_IP_NF_NAT_FTP=m
CONFIG_IP_NF_NAT_TFTP=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_DSCP=m
CONFIG_IP_NF_TARGET_MARK=m
CONFIG_IP_NF_TARGET_CLASSIFY=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_XOR=m
CONFIG_IP_NF_TARGET_TCPLAG=m
CONFIG_IP_NF_TARGET_TTL=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
CONFIG_IP_NF_COMPAT_IPCHAINS=m
CONFIG_IP_NF_NAT_NEEDED=y
# CONFIG_IP_NF_COMPAT_IPFWADM is not set

Если что - пиши. Слаку когда-то изучал, но уж шибко давно было :)

Удачного дня.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Как правильно в iptables увеличить TTL?"
Сообщение от Searcher Искать по авторуВ закладки on 06-Ноя-03, 10:19  (MSK)
-> juniour:

># uname -a
>Linux My.Super.Server.Ru 2.4.22-bk45 #2 Tue Nov 4 16:37:46 YEKT 2003 i686 unknown
>unknown GNU/Linux
># iptables -V
>iptables v1.2.9
>> Система: слака, ядро 2.4.20
>> iptables 1.2.7a
>Гы..:)))
>А ещё "типа линуксоид с фришн?м уклоном " :))
>Уже давно версии обновить бы нужно :))) Ну да дело вкуса.

:-) почти оффтоп:
:-) Вот именно что дело вкуса. Машинка то учебная (именно всё по-этому в ядро вкомпилено относительно фаервола). Кернел 2.4.22 не нравится! и это принципиально! 2.4.20 - :-) маленький, шустренький зверёк, быстро компилирующийся. А так Iptables 1.2.8 вообще-то юзаю (1.2.9 пока не ставлю)

Теперь по делу:

>
>Сетевые опции ядра:
>
>#

>CONFIG_IP_NF_TARGET_TTL=m

ВОТ ОНО!!! САМОЕ ТО!!!!
Я разобрался сам (:-) точнее помогли в другом форуме советом). Нету просто такого таржета в дефолтном ядре! - нужно патчить!!! Это типа ключевая фраза :-)
Кста - а в блек кете (bk?) оно что уже пропатчено?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Как правильно в iptables увеличить TTL?"
Сообщение от junior emailИскать по авторуВ закладки on 06-Ноя-03, 10:41  (MSK)
За почти оффтоп сорри :))) не сдержался :)))
Далее.. Кто сказал, что у мню блек кэт?:))))
Щас опять скажешь "почти оффтоп" :))))) Ты когда на kernel.org был ?:))
Посмотри там такой патч patch-2.4.22-bk47.bz2 (на сегодняшний день) вот и весь Чёрный кот :))) Текущие исправления и дополнения.
Дальше..
Чем не нравится 2.4.22? Маленький 2.4.20? Так это смотря что в него вкомпилишь, так же и в 2.4.22 - что имеем, то и введу :))) Сорри :)
А патчить ядра - одна из первейших обязанностей , как и все крутящиеся сервисы/демоны/сервера.
Совет (не ради оффтопа, а просто дружеский) - переходи на 2.4.22 и не мучайся. Ставь последний iptables + patch-o-matic - и найдёшь КУЧУ интересного и увлекательного. :) Я например фильтрую сетку по времени доступа, количество коннектов с компьютера, мак-адресам, фильтр от сканирующих программ (специальный, для iptables), квоты пользователям на величину файлового качева из инета и more.. more... more. :)
Выгода - очевидная. Меньшая загрузка системы (в отличие от переложения этих задач на SQUID - кол-во коннектов, время доступа, мак-адреса, delay_pools)
Хотя опять же - дело вкуса и предпочтений.
Удачного дня!
  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Как правильно в iptables увеличить TTL?"
Сообщение от Searcher Искать по авторуВ закладки on 07-Ноя-03, 10:19  (MSK)
>За почти оффтоп сорри :))) не сдержался :)))
>Далее.. Кто сказал, что у мню блек кэт?:))))
>Щас опять скажешь "почти оффтоп" :))))) Ты когда на kernel.org был ?:))
>
>Посмотри там такой патч patch-2.4.22-bk47.bz2 (на сегодняшний день) вот и весь Чёрный
>кот :))) Текущие исправления и дополнения.
>Дальше..
>Чем не нравится 2.4.22? Маленький 2.4.20? Так это смотря что в него
>вкомпилишь, так же и в 2.4.22 - что имеем, то и
>введу :))) Сорри :)
>А патчить ядра - одна из первейших обязанностей , как и все
>крутящиеся сервисы/демоны/сервера.
>Совет (не ради оффтопа, а просто дружеский) - переходи на 2.4.22 и
>не мучайся. Ставь последний iptables + patch-o-matic - и найдёшь КУЧУ
>интересного и увлекательного. :) Я например фильтрую сетку по времени доступа,
>количество коннектов с компьютера, мак-адресам, фильтр от сканирующих программ (специальный, для
>iptables), квоты пользователям на величину файлового качева из инета и more..
>more... more. :)
>Выгода - очевидная. Меньшая загрузка системы (в отличие от переложения этих задач
>на SQUID - кол-во коннектов, время доступа, мак-адреса, delay_pools)
>Хотя опять же - дело вкуса и предпочтений.
>Удачного дня!

:-)эх, бум считать что поскольку кернел связан с фаерволом то поговорим и о нём здесь :-)

patch-2.4.22-bk47.bz2 :-) я так и думал что что-то тут не то.
Я не приверженец (:-) верно только относительно кернела!) бежать и ставить всё последнее и потом ставить патчи, а потом патчи патчей и т д
Именно по-этому я и сижу на стабильном и отлаженном 2.4.20
В 2.4.22 нету ничего нового из того что используется мной и что нельзя использовать с помощью патчей (патчи использую направлено только как расширение функциональности ядра, :-) например криптоФС)
Относительно размера - :-) я бы не говорил просто так если бы не проверил!
Я ставил одинаковые опции что в 2.4.20 что в 2.4.22 (я обычно всё по максимуму выношу в модули и отключаю всё что не использую, :-) приведённый конфиг для иптейблс не в счёт - я не хочу париться при тренировке с модулями - вот и всё вкомпилил для стенда в ядро относительно фаервола).
Так вот, замечено:
1) время компиляции 2.4.22 (правда без чёрного кота :-)) больше
2) размер 2.4.22 получается больше! (чего только не делал) по сравнению с 2.4.20
Ес-но всё компилилось на одной и той же самой машине

Про патчоматик я уже в курсе :-) ПАСИБА ОГРОМНОЕ!.
Иптейблс - у меня пробел в линухе, так как работал всегда с ipfw. Вот и навёрстываю

А вот про
" фильтрую сетку по времени доступа,
  количество коннектов с компьютера,
  фильтр от сканирующих программ (специальный, для
  iptables),
  квоты пользователям на величину файлового качева из инета и more..
"
это очень и очень интересно (мак'и пропускаем - :) я в курсе)
и особенно VS squid.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Как правильно в iptables увеличить TTL?"
Сообщение от junior emailИскать по авторуВ закладки on 07-Ноя-03, 11:31  (MSK)
Ну нельзя же совсем не обновлять ядро..)
Не могу я так. Насчёт стабильности -> Опять же возвратимся к вопросу о том, что туда включаем. Всю хрень мультимедийную и т.д. и т.п. - нафик. На сервере это без надобности, иксы тоже.. ну и далее по списку.
Нормально радотающее ядрышко около 800К. (это с дополнениями от OpenWall).
Насчёт iptables.. Не буду вдаваться в споры о рульности "*BSD or Linux" - каждому своё, от админа зависит что заработает, а что упадёт, - так вот, задач, выролняемых этим фильтром хватает по самые помидоры! :)) Конечно не переносим бездумно все патчи, сначала обкатаем, а потом в бой.
Сейчас пробую разобраться с новым - osf - патч, который позволяет фильтровать пакеты в зависимости от типа операционки, кстати автор наш соотечественник :))), создаётся база отпечатков в /proc/sys/net/ipv4/osf и производится фильтрация на основе отпечатка ОС-и. Замечательная вещь получится типа:
iptables -N WINDOWS
iptables -A WINDOWS -m limit --limit 1/hour -j LOG --log-prefix "WINDOWS SUXXXXX! ""
iptables -A WINDOWS -j DROP
iptables -I INPUT 1 -p tcp -m osf --genre Windows -j WINDOWS

Вот :))
Если вдруг какие вопросы по фильтру - пиши, может смогу помочь, если знаю.
Удачного дня!

И с праздником всех, млин!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Как правильно в iptables увеличить TTL?"
Сообщение от Searcher Искать по авторуВ закладки on 07-Ноя-03, 15:51  (MSK)
>Ну нельзя же совсем не обновлять ядро..)
>Не могу я так. Насчёт стабильности -> Опять же возвратимся к вопросу о том, что туда включаем. Всю хрень мультимедийную и т.д. и т.п. - нафик. На сервере это без надобности, иксы тоже.. ну и далее по списку.
>Нормально радотающее ядрышко около 800К. (это с дополнениями от OpenWall).
>Насчёт iptables.. Не буду вдаваться в споры о рульности "*BSD or Linux"
>- каждому своё, от админа зависит что заработает, а что упадёт,
>- так вот, задач, выролняемых этим фильтром хватает по самые помидоры!
>:)) Конечно не переносим бездумно все патчи, сначала обкатаем, а потом
>в бой.
>Сейчас пробую разобраться с новым - osf - патч, который позволяет фильтровать
>пакеты в зависимости от типа операционки, кстати автор наш соотечественник :))),
>создаётся база отпечатков в /proc/sys/net/ipv4/osf и производится фильтрация на основе отпечатка
>ОС-и. Замечательная вещь получится типа:
>iptables -N WINDOWS
>iptables -A WINDOWS -m limit --limit 1/hour -j LOG --log-prefix "WINDOWS SUXXXXX!
>""
>iptables -A WINDOWS -j DROP
>iptables -I INPUT 1 -p tcp -m osf --genre Windows -j WINDOWS
>
>
>Вот :))
>Если вдруг какие вопросы по фильтру - пиши, может смогу помочь, если
>знаю.
>Удачного дня!
>
>И с праздником всех, млин!


Спасибки за инфу и поздравления :-)
:-) про вынь кульно придумано! , но под вынь тоже существует фаерволы позволяющие хамелеонить :-) типа Майкрософт СуперНикс 2003
насчёт ipfw - :-) ?то уже был факт как правило, - вот доразбираюсь с иптейблс и снесу фрю наверное - надоела :-))))
по фильтру думаю точно напишу! - :-) жди
Чтобы не мучать зря - я пока созреваю (:-) на 52 странице руководства по иптейблс :-) )
ЗЫ:
Давно мечтал найти линуксоида который таки "прощёлкал" иптейблс глубоко, а не просто дроп всё вместо реджект и т д :-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Как правильно в iptables увеличить TTL?"
Сообщение от junior emailИскать по авторуВ закладки on 07-Ноя-03, 16:30  (MSK)
> но под вынь тоже существует фаерволы позволяющие хамелеонить :-)
>типа Майкрософт СуперНикс 2003
Всё решаемо :)))
Я списался с автором патча, консультируюсь.
Есть возможность обновления базы слепков под свои нужды, а не только пользовать готовые, я например добавил всю локалку (любое совпадение в DROP из бухгалтерии чисто случайное :))))))

>Давно мечтал найти линуксоида который таки "прощёлкал" иптейблс глубоко,
> а не просто дроп всё вместо реджект и т д :-)
Тут много очень знающих людей.
Кстати - DROP - моё любимое правило :) Ну не люблю я позволять всё, что не запрещено :) А REJECT.. зачем мне свой трафик забивать ответами о недоступности, так и забить канал могут, типа DoS-а влупить :)) Так что DROP, он и в Африке DROP :))

Удачного дня!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Как правильно в iptables увеличить TTL?"
Сообщение от Searcher Искать по авторуВ закладки on 08-Ноя-03, 00:41  (MSK)
>> но под вынь тоже существует фаерволы позволяющие хамелеонить :-)
>>типа Майкрософт СуперНикс 2003
>Всё решаемо :)))
>Я списался с автором патча, консультируюсь.
>Есть возможность обновления базы слепков под свои нужды, а не только пользовать
>готовые, я например добавил всю локалку (любое совпадение в DROP из
>бухгалтерии чисто случайное :))))))
>
>>Давно мечтал найти линуксоида который таки "прощёлкал" иптейблс глубоко,
>> а не просто дроп всё вместо реджект и т д :-)
>Тут много очень знающих людей.
>Кстати - DROP - моё любимое правило :) Ну не люблю я
>позволять всё, что не запрещено :) А REJECT.. зачем мне свой
>трафик забивать ответами о недоступности, так и забить канал могут, типа
>DoS-а влупить :)) Так что DROP, он и в Африке DROP
>:))
>
>Удачного дня!

:-) Ну а так могут Sequence Number Prediction влупить

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Как правильно в iptables увеличить TTL?"
Сообщение от junior emailИскать по авторуВ закладки on 08-Ноя-03, 10:46  (MSK)
>:-) Ну а так могут Sequence Number Prediction влупить
Всё решаемо :)))
  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Как правильно в iptables увеличить TTL?"
Сообщение от Searcher Искать по авторуВ закладки on 12-Ноя-03, 15:03  (MSK)
>>:-) Ну а так могут Sequence Number Prediction влупить
>Всё решаемо :)))


:-) Кста - а это у меня только самоубеждение или это таки имеет место быть:

Почему-то кажется что раб станция линух 2420 работает с фаерволом (примитивные правила, всё закрыть открыть только фтп на машинку + фильтрация некорректных пакетов и закрытие броадкастов майкрософтских) в локальной сети быстрее чем без него?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Как правильно в iptables увеличить TTL?"
Сообщение от junior emailИскать по авторуВ закладки on 12-Ноя-03, 16:09  (MSK)
>:-) Кста - а это у меня только самоубеждение или это таки
>имеет место быть:
>
>Почему-то кажется что раб станция линух 2420 работает с фаерволом (примитивные правила,
>всё закрыть открыть только фтп на машинку + фильтрация некорректных пакетов
>и закрытие броадкастов майкрософтских) в локальной сети быстрее чем без него?
>

Скорее всего может, ибо если настроена маршрутизация и поднят ещё ДНС, то время на поиск шлюза и преобразование адресов уменьшается, ну и ещё с поднятым прокси странички из кэша идут ещё:) Не забывай, что у Линуха ещё компрессия может быть по передаче данных, сие даёт заметный прирост на медленных выделенках.
Но может быть и самообман :)

Удачного дня.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру