|
|
|
VNIMANIE: Izpolzvaite forumite na saita za da zadadete vashite vuprosi.
| Vupros |
| Ot: alabala (todor< dot >lazarov< at >chepelare-bg< dot >net) |
Data: 05/23/2002 |
Niakoi mozhe li da dade realni primeri s malko info za
slednite vuzmozhnosti na iptables.
1. Izpolzvane na --tcp-flags SYN,RST,ACK SYN
2. Izpolzvane na --state ESTABLISHED, INVALID, NEW
3. Ogranichavane na trafika s pomoshtta na iptables.
10%
|
| Otgovor #1 |
| Ot: hint |
Data: 05/23/2002 |
za 1:
$IPTABLES -t nat -A POSTROUTING -o ppp0 -p tcp --tcp-flags
SYN,RST SYN -m tcpmss --mss 1453: -j TCPMSS --set-mss 1452
Tova neshto otdelia vsi4ki tcp paketi sys setnati poso4enite
flagove i MSS=1453 (Maximum segment size za tekushtata tcp
sesia), i setva nova mss stojnost na filtriranite paketi
za 2:
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j
ACCEPT
Tova e red ot moja firewall script, raboti :)
za 3: Kakvo to4no iskash da ograni4avash ?
|
| Otgovor #3 |
| Ot: hint |
Data: 05/23/2002 |
tova e edin primer za --limit opciata na iptables:
$IPTABLES -A INPUT -p udp -m limit --limit 5/second
--limit-burst 10 -s 192.168.0.1 -j ACCEPT
Raboti taka: puska purvite 10 udp paketa ot 192.168.0.1
(tova se opredelia ot limit-burst opciata), sled koeto po4va
da puska samo 5 udp paketa v secunda ot sushtia source
Za pove4e podrobnost - potursi v mrejata, pulno e s howto-ta
i primerni scriptove za iptables
|
<< TV out (1
) | gnupg? (3
) >>
|
|
|
|
|
|
