From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: "Dmitry V. Levin" To: mandrake-russian@linuxteam.iplabs.ru Message-ID: <20010110032156.E2441@LDV.fandra.org> Mail-Followup-To: "Dmitry V. Levin" , mandrake-russian@linuxteam.iplabs.ru References: <200101041332.f04DW2s81343@www1.mailru.com> <20010109220101.CB1247E7FE@rromas.user.lanet.ru> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="fWddYNRDgTk9wQGZ" Content-Disposition: inline In-Reply-To: <20010109220101.CB1247E7FE@rromas.user.lanet.ru>; from rromas@mailru.com on Wed, Jan 10, 2001 at 01:01:01AM +0300 Subject: [mdk-re] Re: =?koi8-r?B?W21kay1yZV0gUmU6IFttZGstcmVdIOLF2s/QwdPOz9PU2A==?= Sender: mandrake-russian-admin@linuxteam.iplabs.ru Errors-To: mandrake-russian-admin@linuxteam.iplabs.ru X-BeenThere: mandrake-russian@linuxteam.iplabs.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@linuxteam.iplabs.ru List-Help: List-Post: List-Subscribe: , List-Id: Mandrake/RE discussion list List-Unsubscribe: , List-Archive: Date: Wed Jan 10 03:17:01 2001 X-Original-Date: Wed, 10 Jan 2001 03:21:56 +0300 Archived-At: List-Archive: --fWddYNRDgTk9wQGZ Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Wed, Jan 10, 2001 at 01:01:01AM +0300, Roman S wrote: > Вот что у меня работает с тех пор, как подключение к интернету стало > постоянным (из каких-то рекомендаций): > Как я допёр? А по ламерски, задал вопрос поисковой системе, по поводу > защиты от спуфинга!!!!!! > ################################################## > # Включаем Проверку Адреса Отправителя и получаем > # защиту от спуфинга на всех существующих и будущих интерфейсах > echo -n "Setting up IP spoofing protection..." > for f in /proc/sys/net/ipv4/conf/*/rp_filter; do > echo 1 > $f > done > echo "done." > ##################################################### На самом деле принято делать так: # Enables source route verification net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.all.rp_filter = 1 этих строчек в /etc/sysctl.conf достаточно, чтобы получить тот же самый эффект, но стандартными средствами initscripts. При этом "source route verification" включается еще до поднятия интерфейсов: # Configure kernel parameters action "Configuring kernel parameters: " sysctl -p /etc/sysctl.conf (эти строки я взял из /etc/rc.d/rc.sysinit). Это все есть по умолчанию в Sisyphus, причем давольно давно. > Т.е. у меня порядок такой: > 1) Поднимается брандмауэр > 2) Поднимается eth0 > 3) отрабатывает вышеприведённая хрюнотка, ибо не хрена... > Есть ещё финт ушами в камышах - от особо назойливых прикрываться не > REJECT, а простым DENY (пущай не отлуп получает, а тайм-аута подождёт > каждый раз!!!) но тут главное - не переусердствовать, ибо такой подход > тоже чреват боком... Если Вы используете REJECT - рано или поздно получите DoS. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@fandra.org Software Engineer PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html IPLabs Linux Team http://linux.iplabs.ru Fandra Project http://www.fandra.org +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. --fWddYNRDgTk9wQGZ Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.4 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE6W6skZqIoNiVITrsRAmXgAJ0VFGgE/QOmq4mqKvxHKFNcqkp9vgCfQBmV Ts3vjBiyeAx12XdXA1ObD2I= =UvEJ -----END PGP SIGNATURE----- --fWddYNRDgTk9wQGZ--