[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: icq iptables deny

Угу. И вынести при этом значительную часть аоловских сайтов?
см. host login.icq.com, затем whois по ним и напоследоп host оп случайным адресам в диапазоне.

On Thu, 27 Mar 2003 22:54:58 +0300
"Victor B. Wagner" <vitus@45.free.net> wrote:

> On 2003.03.27 at 20:11:00 +0200, sixthfish wrote:
> 
> > Здравствуйте, Bogdan.
> > 
> > Вы писали 27 марта 2003 г., 18:45:52:
> > 
> > B> Закрыть login.icq.com
> > B> Да и вообще, из udp можно оставить толко пакеты идущие с/на 53
> > B> порт dns-сервера
> > 
> > ICQ  уже  тысячу  лет,  как  работает по TCP. Закрывать
> > нужно  5190 порт (tcp). Закрывать login.icq.com особого
> > смысла нет. Т.к. это пул адресов -- у них прямой dns не
> > равен  обратному.  Прямой  --  всегда  login.icq.com, а
> > обратные  имена всегда разные. Посему, что именно будет
> > отфильтровывать iptables -- трудно сказать. М.б. адрес,
> > который  проресолвит  на  момент  добавления  правила в
> > таблицу (не уверен).
> > 
> > Есть  еще  мнение, что login.icq.com хосты слушают чуть
> > ли  не все 64K портов :)
> 
> Именно поэтому их и надо закрывать. Только не тупо, указанием
> DNS-имени в командной строке iptables, а отрезолвив его посредством
> host или nslookup, и закрыв все найденные адреса. Причем, вероятно, на
> уровне сетей класса C.
> 
Угу. И вынести при этом значительную часть аоловских сайтов?
см. host login.icq.com, затем whois по ним и напоследоп host по случайным адресам в диапазоне. Я проверял.
Reply to: