Форум OlegON > Ресурсы OlegON > Вопросы сервера

Сканинг : Вопросы сервера

29.03.2024 11:33


17.03.2009 16:01
twix
 
Цитата:
OlegON А кто сказал, что это соединения?
фаер станет ругаться только на попытки открыть соединение по неразрешенным портам.
в случае же, когда клиент, например, установил HTTP-соединение, то и получать данные (читай - пакеты) он будет по этому же соединению, и фаер на него ругаться не станет
17.03.2009 16:27
Kryukov
 
Цитата:
twix пакеты-то путешествуют, но по потокам, установленным от клиента к серверу. а вот зачем он пытается соедиение от себя к клиенту установить - непонятно
что и куда к вам пытается соединиться, ну поконкретней, в какой момент и тд. дайте информацию ....
17.03.2009 17:10
twix
 
Цитата:
Kryukov что и куда к вам пытается соединиться, ну поконкретней, в какой момент и тд. дайте информацию ....
сейчас к нам никто не пытается законнектиться. это было несколько месяцев назад
17.03.2009 17:41
OlegON
 
Цитата:
twix в случае же, когда клиент, например, установил HTTP-соединение, то и получать данные (читай - пакеты) он будет по этому же соединению, и фаер на него ругаться не станет
Это терминология для попсовых фаеров. Непопсовые разделяют не соединения, а пакеты. Входящие и выходящие. Которые в свою очередь делятся на SYN и ASK, например, для TCP.
17.03.2009 20:35
twix
 
Цитата:
OlegON Это терминология для попсовых фаеров. Непопсовые разделяют не соединения, а пакеты. Входящие и выходящие. Которые в свою очередь делятся на SYN и ASK, например, для TCP.
iptables тоже считается попсовым? О_о
18.03.2009 06:50
OlegON
 
Цитата:
twix iptables тоже считается попсовым? О_о
Хм, что-то я не припомню, где там соединения... ;)
Цитата:
$IPTABLES -A INPUT -i $INET -p tcp --dport 445 -j REJECT
18.03.2009 08:51
twix
 
Цитата:
OlegON Хм, что-то я не припомню, где там соединения... ;)
дык оно и есть. насколько я понимаю, иптаблес отсеивает попытки новых соединений, а не пакеты. имхо, пакеты ходят по уже установленным соединениям между сокетами на компах, и никак не могут "выпасть" из этого канала, чтобы попытаться попасть на другой порт.
хотя, конечно, иптаблес можно настроить с дотошной детальностью.
Цитата:
$IPTABLES -A INPUT -i $INET -p tcp --dport 445 -j REJECT
INPUT и OUTPUT, насколько мне известно, всего лишь задает направление фильтрации
18.03.2009 09:09
OlegON
 
Не так... Если я запущу это правило, то все установленные соединения отвалятся, потому, что пакеты будут натыкаться на стенку с момента установления правила. Для поддержки определения "соединения" можно использовать --tcp-flags или --state, но все равно надо будет указать, в каком направлении пакеты идут. В этом и суть непопсовости iptables. Что правила достаточно подробные.
18.03.2009 09:18
twix
 
Цитата:
OlegON Не так... Если я запущу это правило, то все установленные соединения отвалятся, потому, что пакеты будут натыкаться на стенку с момента установления правила. Для поддержки определения "соединения" можно использовать --tcp-flags или --state, но все равно надо будет указать, в каком направлении пакеты идут. В этом и суть непопсовости iptables. Что правила достаточно подробные.
согласен.
однако повторюсь: пакеты не ходят без установленного соединения. т.е., возвращаясь к теме, сначала надо создать соединение, которое, попадая под это правило, будет отпинываться, и, при добавлении строчки с "-j LOG", будет еще и в лог попадать. и в этом случае ответ "Сервер пытается отдать данные" меня как-то не устраивает. разговор шел именно про сканинг, а не получение данных от сервера к клиенту по уже установленным соединениям. в логе у нас, кстати, сейчас нет записей с SRC=78.110.50.106

да. добавлю, что пакеты не могут "выпадать" из уже установленного соединения, "падая" на рандомные порты клиентской машины вне зависимости от их направления.
18.03.2009 11:32
OlegON
 
Ошибаешься, пакеты ходят и без установленного соединения. Именно в этом преимущество фильтров по пакетам, а не по соединениям.
Часовой пояс GMT +3, время: 11:33.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.