On Wed, Jan 10, 2001 at 01:01:01AM +0300, Roman S wrote: > Вот что у меня работает с тех пор, как подключение к интернету стало > постоянным (из каких-то рекомендаций): > Как я допёр? А по ламерски, задал вопрос поисковой системе, по поводу > защиты от спуфинга!!!!!! > ################################################## > # Включаем Проверку Адреса Отправителя и получаем > # защиту от спуфинга на всех существующих и будущих интерфейсах > echo -n "Setting up IP spoofing protection..." > for f in /proc/sys/net/ipv4/conf/*/rp_filter; do > echo 1 > $f > done > echo "done." > ##################################################### На самом деле принято делать так: # Enables source route verification net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.all.rp_filter = 1 этих строчек в /etc/sysctl.conf достаточно, чтобы получить тот же самый эффект, но стандартными средствами initscripts. При этом "source route verification" включается еще до поднятия интерфейсов: # Configure kernel parameters action "Configuring kernel parameters: " sysctl -p /etc/sysctl.conf (эти строки я взял из /etc/rc.d/rc.sysinit). Это все есть по умолчанию в Sisyphus, причем давольно давно. > Т.е. у меня порядок такой: > 1) Поднимается брандмауэр > 2) Поднимается eth0 > 3) отрабатывает вышеприведённая хрюнотка, ибо не хрена... > Есть ещё финт ушами в камышах - от особо назойливых прикрываться не > REJECT, а простым DENY (пущай не отлуп получает, а тайм-аута подождёт > каждый раз!!!) но тут главное - не переусердствовать, ибо такой подход > тоже чреват боком... Если Вы используете REJECT - рано или поздно получите DoS. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@fandra.org Software Engineer PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html IPLabs Linux Team http://linux.iplabs.ru Fandra Project http://www.fandra.org +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are.