Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in

  FAQ | Search | Memberlist | Usergroups | Statistics | Profile | Log in to check your private messages | Log in | Register

Iptable - una regola... non chiara .
 View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano
View previous topic :: View next topic  
Author Message
tocas
Apprentice
Apprentice


Joined: 01 Jan 2004
Posts: 280
Location: 43°50'-10°27'
PostPosted: Fri Sep 15, 2006 6:55 pm    Post subject: Iptable - una regola... non chiara . Reply with quote
Salve, su http://www.iptablesrocks.org/guide/ruleset.php ho trovato una serie di regole dedite all'intercettazione di eventuali scansioni delle porte.
Sono impostate nella catena PREROUTING della tabella mangle, fin quì' niente di eccessivamente strano.... quello che non mi è chiaro è quando avviene il match della regola. :roll: :roll: :?: :?: :roll: :roll:

Code:

#The Mangle portion of the ruleset. Here is where unwanted packet types get dropped.
#This helps in making port scans against your server a bit more time consuming and difficult, but not impossible.
*mangle
:PREROUTING ACCEPT [444:43563]
:INPUT ACCEPT [444:43563]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [402:144198]
:POSTROUTING ACCEPT [402:144198]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
COMMIT


-------
Back to top
View user's profile Send private message
comio
Advocate
Advocate


Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
PostPosted: Fri Sep 15, 2006 7:04 pm    Post subject: Re: Iptable - una regola... non chiara . Reply with quote
tocas wrote:
Salve, su http://www.iptablesrocks.org/guide/ruleset.php ho trovato una serie di regole dedite all'intercettazione di eventuali scansioni delle porte.
Sono impostate nella catena PREROUTING della tabella mangle, fin quì' niente di eccessivamente strano.... quello che non mi è chiaro è quando avviene il match della regola. :roll: :roll: :?: :?: :roll: :roll:

Code:

#The Mangle portion of the ruleset. Here is where unwanted packet types get dropped.
#This helps in making port scans against your server a bit more time consuming and difficult, but not impossible.
*mangle
:PREROUTING ACCEPT [444:43563]
:INPUT ACCEPT [444:43563]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [402:144198]
:POSTROUTING ACCEPT [402:144198]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
COMMIT


-------


non so perché siano in mangle... comunque...

intercettano delle combinazioni di flags non previste dallo standard TCP/IP (in quanto senza senso). In tal caso le droppa.

http://openskills.info/infobox.php?ID=694
_________________
RTFM!!!!

e

http://www.comio.it
:)
Back to top
View user's profile Send private message
tocas
Apprentice
Apprentice


Joined: 01 Jan 2004
Posts: 280
Location: 43°50'-10°27'
PostPosted: Fri Sep 15, 2006 9:06 pm    Post subject: Reply with quote
Grazie Comio, si anche io mi domando come mai siano in mangle.... comunque le basi del protocollo tcp mi sono abbastanza chiare, 3-way handshake ecc.
Quello che invece non ho capito, è la modalità con la quale iptables fa il match, ad esempio: che senso ha ripetere più volte la solita regola,
E' ovvio che sono sequenze tutte fuori standard tcp e dovrebbero essere utilizzate solo come tecniche di scansione da parte dei software atti allo scopo e che una regola sia valida solo quando è soddisfatta in tutta la sequenza dei flags riportati.
Ovviamente, tutto ciò funziona, perchè iptables implementa il connection tracking e riesce a a mantenere la traccia dei pacchetti precedenti.

Giusto ? posso testare queste regole con hping2 oppure servono altri tools ?

------
Back to top
View user's profile Send private message
comio
Advocate
Advocate


Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
PostPosted: Fri Sep 15, 2006 9:09 pm    Post subject: Reply with quote
tocas wrote:
Grazie Comio, si anche io mi domando come mai siano in mangle.... comunque le basi del protocollo tcp mi sono abbastanza chiare, 3-way handshake ecc.
Quello che invece non ho capito, è la modalità con la quale iptables fa il match, ad esempio: che senso ha ripetere più volte la solita regola,
E' ovvio che sono sequenze tutte fuori standard tcp e dovrebbero essere utilizzate solo come tecniche di scansione da parte dei software atti allo scopo e che una regola sia valida solo quando è soddisfatta in tutta la sequenza dei flags riportati.
Ovviamente, tutto ciò funziona, perchè iptables implementa il connection tracking e riesce a a mantenere la traccia dei pacchetti precedenti.

Giusto ? posso testare queste regole con hping2 oppure servono altri tools ?

------


non serve replicare 3 volte le regole... secondo me è un errore di cut&paste di chi le ha fabbricate.

ciao
_________________
RTFM!!!!

e

http://www.comio.it
:)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum



 Links: forums.gentoo.org | www.gentoo.org | bugs.gentoo.org | wiki.gentoo.org | forum-mods@gentoo.org

Copyright 2001-2024 Gentoo Foundation, Inc. Designed by Kyle Manna © 2003; Style derived from original subSilver theme. | Hosting by Gossamer Threads Inc. © | Powered by phpBB 2.0.23-gentoo-p11 © 2001, 2002 phpBB Group
Privacy Policy