И он не сгорел.

чйорт

Новый тип подписки Red Hat Enterprise Linux Developer Suite позволяет использовать для разработки основные продукты компании — RHEL, JBoss, OpenShift, CDK, SCL — бесплатно для некоммерческого использования. Подписка не гарантирует время рассмотрения или решения проблем (self-support)

А обновления приходят во время?

Это канал об аниме?

Это канал об аниме?

почти

а тем временем, я почти закончил сборку

http://www.currenttime.mobi/a/27651987.html

Такой пук в лужу вышел, сил моих нет.

почему лучше всего работать получается после 10ти вечера

до этого или отвлекают все, или страшный тупняк

iptables, DNS, UDP. хочу stateful для ресолвера. что-то я не совсем понимаю, что у меня за stateful отвечает. угуглился. нигде нет акцента на это

iptables, -m owner. где посмотреть, что этот модуль вообще существует?

iptables, DNS, UDP. хочу stateful для ресолвера. что-то я не совсем понимаю, что у меня за stateful отвечает. угуглился. нигде нет акцента на это

Что-то ты хочешь?

Что-то ты хочешь?

закрыть UDP. но не убить при этом ресолвер

закрыть UDP. но не убить при этом ресолвер

во фре я разрешаю исходящие udp с флажком keep-state, а перед всеми запретами ставлю правило check-state

Ну а тут чего, только тут цепочки надо во внимание принимать

Ну а тут чего, только тут цепочки надо во внимание принимать

переведи на русский

https://www.garron.me/images/2012-04/Netfilter-packet-flow.svg

https://github.com/minio/concert - щорс ты не это искал для LE?

https://www.garron.me/images/2012-04/Netfilter-packet-flow.svg

и как мне эта картинка поможет поянть где мне утилитой воткнуть запоминание состояний, а где проверить?

во фре я разрешаю исходящие udp с флажком keep-state, а перед всеми запретами ставлю правило check-state

в linux по дефолту keep-state

https://github.com/minio/concert - щорс ты не это искал для LE?

судя по концовке, про порты, нет, оно тоже не может остановится и подождать или сработать не на проверяемой машине

https://github.com/minio/concert - щорс ты не это искал для LE?

точно нет. это yet another bullshit combine

и как мне эта картинка поможет поянть где мне утилитой воткнуть запоминание состояний, а где проверить?

состояние надо смотреть, но кабы оно п дефолту одно, на всех

закрыть UDP. но не убить при этом ресолвер

почему просто не разрешить исход на 53й порт udp?

в linux по дефолту keep-state

а. тогда вопрос снят.

https://www.garron.me/images/2012-04/Netfilter-packet-flow.svg

только https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg

почему просто не разрешить исход на 53й порт udp?

потому что обратка-то как приедет?

потому что обратка-то как приедет?

так ты входящие все established, related разреши

это как бы общая практика

https://github.com/minio/concert - щорс ты не это искал для LE?

собственно я уже сделал perkele

ну сравни

может лучше

или какие идеи

так ты входящие все established, related разреши

кстати не нашел реального описания что такое RELATED. общие слова ничего не объясняют

потому что обратка-то как приедет?

ну это... в общем и целом делается так: iptables -P INPUT -A INPUT -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP

кстати не нашел реального описания что такое RELATED. общие слова ничего не объясняют

так вроде ж всё просто и оно про хелперы

ну это... в общем и целом делается так: iptables -P INPUT -A INPUT -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP

эээ... в первой строке -P INPUT оно что делает/

кстати не нашел реального описания что такое RELATED. общие слова ничего не объясняют

http://www.iptables.info/en/connection-state.html

может лучше

такие идеи у каждого первого

так вроде ж всё просто и оно про хелперы

и в чём простота? я просто не понял что это. вообще

https://ru.wikibooks.org/wiki/Iptables

The RELATED state is one of the more tricky states. A connection is considered RELATED when it is related to another already ESTABLISHED connection. What this means, is that for a connection to be considered as RELATED, we must first have a connection that is considered ESTABLISHED. The ESTABLISHED connection will then spawn a connection outside of the main connection. The newly spawned connection will then be considered RELATED, if the conntrack module is able to understand that it is RELATED. Some good examples of connections that can be considered as RELATED are the FTP-data connections that are considered RELATED to the FTP control port, and the DCC connections issued through IRC. This could be used to allow ICMP error messages, FTP transfers and DCC's to work properly through the firewall. Do note that most TCP protocols and some UDP protocols that rely on this mechanism are quite complex and send connection information within the payload of the TCP or UDP data segments, and hence require special helper modules to be correctly understood.

https://ru.wikibooks.org/wiki/Iptables

это я видел

и в чём простота? я просто не понял что это. вообще

ftp, sip, etc

да нафик все эти выкрутасы, в общем случае

вот у тебя есть ftp, в котором есть сигналинг(21 порт) и данные.

ftp, sip, etc

а как оно туда попадает? а DNS?

да нафик все эти выкрутасы, в общем случае

что значит нафиг? фтп работать не будет

а уж про FTP лучше вообще забыть как о кошмаре

чтобы понять, по какому порту будут данные, надо разбирать текстовый протокол на 21 порту

а как оно туда попадает? а DNS?

причём тут DNS? открой страницу и прочти сверху вниз всё

там всё ооооочень популярно

я даже больше скажу

чтобы понять, по какому порту будут данные, надо разбирать текстовый протокол на 21 порту

вооот. и кто этим занимается?

вооот. и кто этим занимается?

conntrack helpers

более того, сейчас можно хелперы писать в юзерленде

а как посмотреть какие есть?

причём тут DNS? открой страницу и прочти сверху вниз всё

ну т.е. для DNS мне настрать на правило с contrack?

а как посмотреть какие есть?

aim@spblug:~$ ls -la /lib/modules/2.6.32.26/kernel/net/netfilter/nf_conn*

а о. спасибо

2.6.32.26 - сюда подставить то ядро что ты юзаешь

а, у тебя там случаем не какая виртуалка? а то могут всякие весёлости с модулями быть :)

ну т.е. для DNS мне настрать на правило с contrack?

dns попадает в обычный udp.

а, у тебя там случаем не какая виртуалка? а то могут всякие весёлости с модулями быть :)

DO

а, у тебя там случаем не какая виртуалка? а то могут всякие весёлости с модулями быть :)

какие например?

http://conntrack-tools.netfilter.org/manual.html#helpers

ERROR: S client not available

dns попадает в обычный udp.

грубо говоря, если я вот эту строку с контраком не поставлю, что ресолвер работать будет

а, ну там KVM вроде же, с ним вроде нормально, на каких нибудь опенвз может и не быть ничего

грубо говоря, если я вот эту строку с контраком не поставлю, что ресолвер работать будет

Щорс, зависит от правил

Щорс, зависит от правил

всё запрещено. разрешен UDP на 53-ий порт наружу

всё запрещено. разрешен UDP на 53-ий порт наружу

а зачем тебе тут stateful? почему просто не разрешить 53 извне?

потому что он скорее всего мыслит "плоской" моделью из FreeBSD $)

;)

а зачем тебе тут stateful? почему просто не разрешить 53 извне?

вся суть запретить UPD из вне, чтобы и не ломились без динамики

Потому, что это, фактически, разрешить весь udp

Потому, что это, фактически, разрешить весь udp

с чего бы вдруг? это всего лишь udp с 53 порта. кроме того, если мы знаем что это ресолвер, то можно вообще явно указать адрес из resolv.conf

ну это... в общем и целом делается так: iptables -P INPUT -A INPUT -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP

я правильно понимаю, что в первой строке опечатка?

с чего бы вдруг? это всего лишь udp с 53 порта. кроме того, если мы знаем что это ресолвер, то можно вообще явно указать адрес из resolv.conf

хорошо, это кэширующий DNS

я правильно понимаю, что в первой строке опечатка?

iptables -A INPUT в первой строке должно быть

iptables -A INPUT в первой строке должно быть

да ок. я так и понял

но я настоятельно не рекомендую для dns использовать stateful

но я настоятельно не рекомендую для dns использовать stateful

как это сделать и почему не рекомендуешь?

но я настоятельно не рекомендую для dns использовать stateful

собственно я так понимаю там очень тонко надо на таблице mangle поработать на INPUT. да?

но я настоятельно не рекомендую для dns использовать stateful

кстати забавно, но это дефолт для всех фрюшных правил

как это сделать и почему не рекомендуешь?

state table по дефолту имеет 16к корзин и размер в 64к записи. надо 64к пакета чтобы её переполнить

собственно я так понимаю там очень тонко надо на таблице mangle поработать на INPUT. да?

-t raw -j NOTRACK

просто stateful дорог по ресурсам. запись в state table - это 300-600 байт.

ну а без него какой-то косяк с UDP получается

с другой стороны это говорит противник вообще фаерволов ж)))

собственно и хер с ним, что весь udp разрешен будет, нечего там "левому" upd мордой наружу делать

ну а без него какой-то косяк с UDP получается

короче, stateful имеет смысл для протоколов где есть состояние. в udp этого нет и потому stateful там надо по возможности избегать. а то можно получить conntrack table full

https://45.media.tumblr.com/ebc06fe33eae50ddf5f70ab4c55ff92e/tumblr_o4yo9mWGlL1umgkl2o1_500.gif

короче, stateful имеет смысл для протоколов где есть состояние. в udp этого нет и потому stateful там надо по возможности избегать. а то можно получить conntrack table full

Посмотрел логи фряхи на дохлорыбе. Склонен покаяться и согласиться.

Вопрос следующий. Вот на фряхе я в поставочке вижу правил двадцать на всякие локальные адреса (которые не должны просачиваться через вешний интерфейс) и всякие спуфинги локальная сеть, не локальная. Нигде в примерах такого не видел для iptables. В чем подвох?

${fwcmd} add 100 pass all from any to any via lo0 ${fwcmd} add 200 deny all from any to 127.0.0.0/8 ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

# DAD ${fwcmd} add pass ipv6-icmp from :: to ff02::/16 # RS, RA, NS, NA, redirect... ${fwcmd} add pass ipv6-icmp from fe80::/10 to fe80::/10 ${fwcmd} add pass ipv6-icmp from fe80::/10 to ff02::/16 # Allow ICMPv6 destination unreachable ${fwcmd} add pass ipv6-icmp from any to any icmp6types 1 # Allow NS/NA/toobig (don't filter it out) ${fwcmd} add pass ipv6-icmp from any to any icmp6types 2,135,136

Но есть и хорошие новости:

http://lifenews.ru/news/194308