Re: Siti irraggiungibili (lunga)
On Jun 27, InSa <insa_hc@katamail.com> wrote:
> In un giorno di pioggia, verso il Thu, 27 Jun 2002 09:06:25 +0200,
> Davide Alberani <alberanid@libero.it> uscì senza ombrella e
> assaporando le gocce cadere sulla sua faccia disse:
...disse: porca pupattola, piove acido solforico!
> si, ho il kernel 2.4.17 , ma non so cosa sia ECN.
Explicit Congestion Notification (rfc 2481).
Se tra te e la destinazione ci sono router/firewall vecchi o
mal configurati, la connessione non si instaura.
> > Che carnaio :-)
>
> cioè?!? si accettano sempre suggerimenti... :)))
Beh, tante righe, tanti problemi. :-)
I firewall (come tutto) andrebbero resi semplici, per quanto possibile.
Nello specifico: belle regole e sicuramente funziona bene, ma...
note sparse:
* tante regole complicate: dubito reggerebbe carichi significativi.
* la parte di syn-flood e` (moderatamente) inutile per una connessione
dial-up (posto che tu abbia una connessione dial-up, ovvio ;-)
* discriminare i pacchetti in base (anche) alla sorgente dalla quale
_sostengono_ di provenire e` inutile: stanno mentendo!
* aprire singoli servizi non mi pare utile, se poi li limiti ad un
utilizzo "dall'interno" (regole con state ESTABLISHED).
Questo non vale se vuoi offrire un servizio all'esterno, ovvio, ma
non e` questo il caso di una macchina client.
Un decente schema potrebbe essere il seguente:
* policy a DROP per tutte le catene.
* eventualmente invia un icmp-port-unreachable per il servizio auth (113).
* secca/logga i marziani (dovrebbe gia` farlo il kernel, pero`).
* se vuoi logga i tentativi di stabilire nuove connessioni (INVALID,NEW).
* accetta le connessioni dirette sulle porte alte (1024:65535) il cui
stato sia RELATED,ESTABLISHED, tanto per TCP che per UDP.
* se vuoi sega un po` di icmp noiosi (occhio pero` che ICMP e` _bene_).
* accetta gli altri tipi ICMP.
* spargere in giro LOG a piacimento.
Enjoy,
--
(=---= alberanid@libero.it =------------= PGP KeyID: 0x465BFD47 =--=)
) Davide Alberani (
(=--= http://digilander.iol.it/alberanid/ =-= ICQ UIN: 83641305 =--=)
--
To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: