Re: icq iptables deny
On 2003.03.27 at 20:11:00 +0200, sixthfish wrote:
> Здравствуйте, Bogdan.
>
> Вы писали 27 марта 2003 г., 18:45:52:
>
> B> Закрыть login.icq.com
> B> Да и вообще, из udp можно оставить толко пакеты идущие с/на 53
> B> порт dns-сервера
>
> ICQ уже тысячу лет, как работает по TCP. Закрывать
> нужно 5190 порт (tcp). Закрывать login.icq.com особого
> смысла нет. Т.к. это пул адресов -- у них прямой dns не
> равен обратному. Прямой -- всегда login.icq.com, а
> обратные имена всегда разные. Посему, что именно будет
> отфильтровывать iptables -- трудно сказать. М.б. адрес,
> который проресолвит на момент добавления правила в
> таблицу (не уверен).
>
> Есть еще мнение, что login.icq.com хосты слушают чуть
> ли не все 64K портов :)
Именно поэтому их и надо закрывать. Только не тупо, указанием
DNS-имени в командной строке iptables, а отрезолвив его посредством
host или nslookup, и закрыв все найденные адреса. Причем, вероятно, на
уровне сетей класса C.
Reply to: