Сканинг : Вопросы сервера

twix · █ 17.03.2009 16:01

Цитата:

OlegON ➤ А кто сказал, что это соединения?

фаер станет ругаться только на попытки открыть соединение по неразрешенным портам.
в случае же, когда клиент, например, установил HTTP-соединение, то и получать данные (читай - пакеты) он будет по этому же соединению, и фаер на него ругаться не станет

Kryukov · █ 17.03.2009 16:27

Цитата:

twix ➤ пакеты-то путешествуют, но по потокам, установленным от клиента к серверу. а вот зачем он пытается соедиение от себя к клиенту установить - непонятно

что и куда к вам пытается соединиться, ну поконкретней, в какой момент и тд. дайте информацию ....

twix · █ 17.03.2009 17:10

Цитата:

Kryukov ➤ что и куда к вам пытается соединиться, ну поконкретней, в какой момент и тд. дайте информацию ....

сейчас к нам никто не пытается законнектиться. это было несколько месяцев назад

OlegON · █ 17.03.2009 17:41

Цитата:

twix ➤ в случае же, когда клиент, например, установил HTTP-соединение, то и получать данные (читай - пакеты) он будет по этому же соединению, и фаер на него ругаться не станет

Это терминология для попсовых фаеров. Непопсовые разделяют не соединения, а пакеты. Входящие и выходящие. Которые в свою очередь делятся на SYN и ASK, например, для TCP.

twix · █ 17.03.2009 20:35

Цитата:

OlegON ➤ Это терминология для попсовых фаеров. Непопсовые разделяют не соединения, а пакеты. Входящие и выходящие. Которые в свою очередь делятся на SYN и ASK, например, для TCP.

iptables тоже считается попсовым? О_о

OlegON · █ 18.03.2009 06:50

Цитата:

twix ➤ iptables тоже считается попсовым? О_о

Хм, что-то я не припомню, где там соединения... ;)

Цитата:

$IPTABLES -A INPUT -i $INET -p tcp --dport 445 -j REJECT

twix · █ 18.03.2009 08:51

Цитата:

OlegON ➤ Хм, что-то я не припомню, где там соединения... ;)

дык оно и есть. насколько я понимаю, иптаблес отсеивает попытки новых соединений, а не пакеты. имхо, пакеты ходят по уже установленным соединениям между сокетами на компах, и никак не могут "выпасть" из этого канала, чтобы попытаться попасть на другой порт.
хотя, конечно, иптаблес можно настроить с дотошной детальностью.

Цитата:

$IPTABLES -A INPUT -i $INET -p tcp --dport 445 -j REJECT

INPUT и OUTPUT, насколько мне известно, всего лишь задает направление фильтрации

OlegON · █ 18.03.2009 09:09

Не так... Если я запущу это правило, то все установленные соединения отвалятся, потому, что пакеты будут натыкаться на стенку с момента установления правила. Для поддержки определения "соединения" можно использовать --tcp-flags или --state, но все равно надо будет указать, в каком направлении пакеты идут. В этом и суть непопсовости iptables. Что правила достаточно подробные.

twix · █ 18.03.2009 09:18

Цитата:

OlegON ➤ Не так... Если я запущу это правило, то все установленные соединения отвалятся, потому, что пакеты будут натыкаться на стенку с момента установления правила. Для поддержки определения "соединения" можно использовать --tcp-flags или --state, но все равно надо будет указать, в каком направлении пакеты идут. В этом и суть непопсовости iptables. Что правила достаточно подробные.

согласен.
однако повторюсь: пакеты не ходят без установленного соединения. т.е., возвращаясь к теме, сначала надо создать соединение, которое, попадая под это правило, будет отпинываться, и, при добавлении строчки с "-j LOG", будет еще и в лог попадать. и в этом случае ответ "Сервер пытается отдать данные" меня как-то не устраивает. разговор шел именно про сканинг, а не получение данных от сервера к клиенту по уже установленным соединениям. в логе у нас, кстати, сейчас нет записей с SRC=78.110.50.106

да. добавлю, что пакеты не могут "выпадать" из уже установленного соединения, "падая" на рандомные порты клиентской машины вне зависимости от их направления.

OlegON · █ 18.03.2009 11:32

Ошибаешься, пакеты ходят и без установленного соединения. Именно в этом преимущество фильтров по пакетам, а не по соединениям.