[mdk-re] Re: [mdk-re] Re: [mdk-re] Безопасность

ALT Linux Community general discussions
 help / color / mirror / Atom feed

From: "Dmitry V. Levin" <ldv@fandra.org>
To: mandrake-russian@linuxteam.iplabs.ru
Subject: [mdk-re] Re: [mdk-re] Re: [mdk-re] Безопасность
Date: Wed Jan 10 03:17:01 2001
Message-ID: <20010110032156.E2441@LDV.fandra.org> (raw)
In-Reply-To: <20010109220101.CB1247E7FE@rromas.user.lanet.ru>; from rromas@mailru.com on Wed, Jan 10, 2001 at 01:01:01AM +0300

[-- Attachment #1: Type: text/plain, Size: 2070 bytes --]

On Wed, Jan 10, 2001 at 01:01:01AM +0300, Roman S wrote:
> Вот что у меня работает с тех пор, как подключение к интернету стало
> постоянным (из каких-то рекомендаций):
> Как я допёр? А по ламерски, задал вопрос поисковой системе, по поводу
> защиты от спуфинга!!!!!!
> ##################################################
> # Включаем Проверку Адреса Отправителя и получаем
> # защиту от спуфинга на всех существующих и будущих интерфейсах
> echo -n "Setting up IP spoofing protection..."
> for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
>       echo 1 > $f
> done
> echo "done."
> #####################################################

На самом деле принято делать так:
# Enables source route verification
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1

этих строчек в /etc/sysctl.conf достаточно, чтобы получить тот же самый
эффект, но стандартными средствами initscripts. При этом "source route
verification" включается еще до поднятия интерфейсов:

# Configure kernel parameters
action "Configuring kernel parameters: " sysctl -p /etc/sysctl.conf
(эти строки я взял из /etc/rc.d/rc.sysinit).

Это все есть по умолчанию в Sisyphus, причем давольно давно.

> Т.е. у меня порядок такой:
> 1) Поднимается брандмауэр
> 2) Поднимается eth0
> 3) отрабатывает вышеприведённая хрюнотка, ибо не хрена...
> Есть ещё финт ушами в камышах - от особо назойливых прикрываться не
> REJECT, а простым DENY (пущай не отлуп получает, а тайм-аута подождёт
> каждый раз!!!) но тут главное - не переусердствовать, ибо такой подход
> тоже чреват боком...

Если Вы используете REJECT - рано или поздно получите DoS.

Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@fandra.org
Software Engineer   PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html
IPLabs Linux Team   http://linux.iplabs.ru
Fandra Project      http://www.fandra.org
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

     prev parent reply	other threads:[~2001-01-10  3:17 UTC|newest]

Thread overview: 4+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2001-01-04 16:26 [mdk-re] âÅÚÏÐÁÓÎÏÓÔØ Roman S
2001-01-09 22:27 ` [mdk-re] Re: [mdk-re] Безопасность Michael Bykov
2001-01-10  0:55   ` [mdk-re] Re: [mdk-re] âÅÚÏÐÁÓÎÏÓÔØ Roman S
2001-01-10  3:17     ` Dmitry V. Levin [this message]

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20010110032156.E2441@LDV.fandra.org \
    --to=ldv@fandra.org \
    --cc=mandrake-russian@linuxteam.iplabs.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git