|
From
|
c1cc10 <c1cc10@ecn.org>
|
|
Date
|
Sat, 30 Aug 2003 19:09:47 +0000
|
|
Subject
|
Re: [hackmeeting] STATEFUL INSPECTION
|
Raistlin wrote:
> Se avete i nervi a fior di pelle, provate con la camomilla, altro che
> automobili e denti. E la prossima volta un RTFM senza aggiunte non ve lo
> leva nessuno. Cazzo, a voler rispondere ai dubbi della gente ci si ricava
> sempre molto.
vabbe' ma dai non ci sto credendo che c'e' tutto sto machismo nell'aria,
checcazzo ;^))
cmq sia il problema sulle domande base c'era anche ai tempi di linux.it
e infatti da li' poi e' saltato fuori il sito di zio budda (che il
demonio lo divori ora).
Vecchie storie e nuove situazioni, non ci vedo niente di nuovo e niente
di strano: cmq alla fine se invece di flames si prendesse lo spunto per
discutere di statefull inspection io non mi offenderei mica.
e cmq su sta lista, senza offesa per nessuno, di merda e di testosterone
capita spesso che ne passi, per questo dicevo di non menarcela (nessun*!).
peraltro posso aggiungere per esperienza personale che lo statefull
inspection ha cambiato radicalmente la progettazione di firewall. Una
volta (comincio a sentirmi anziano... 8^) il controllo veniva fatto in
DENY come policy di default sulla catena (AH, c'erano anche meno catene
e la granularita' era un concetto nascente) e poi giu' a farsi due palle
porta per porta da un lato e dall'altro della rete. Ovviamente lo
statefull semplifica parecchio, perche' io posso comunicare al firewall
che mi interessa, chesso', loggare le connessioni stateless (cioe' che
nel nostro caso mi "iniziano" con un FIN), che sono prob. degli scan.
Oppure posso autorizzare, come faccio di solito, delle connessioni che
sono RELATED, ovvero che sono considerate correlate con una connessione
che ho gia' autorizzato.
Stavo per fare l'esempio dell'FTP (controllo sulla 21 e dati sulla 20)
ma mi e' venuto in mente che iptables necessita di moduli a parte per i
suoi controlli su FTP, quindi non vorrei dire una castroneria.
Cmq sia la cosa si traduce con il fatto che le connessioni NEW e le loro
RELATED sono autorizzate e me ne fotto di specificare volta per volta le
porte disponibili.
Questo cambia MOLTO, ma non e' la sola cosa. All'HAL 2001 uno degli
autori di iptables ci ha messo un ora per leggerci la pagina di manuale
del programma, quindi non e' stato proprio utilissimo come incontro, ma
mi chiedo se non ha lasciato documentazione migliore in giro sul sito.
Ora non posso controllare.
Scusate il semplicismo dell'esposizione e la grossolanita', ma conto che
chi ne sa di piu' mi corregga e chi ne sa di meno domandi.
baz IGMP
c1cc10
--
pub 1024D/76A9AC52 2002-12-13 ciunociciunozero (PORCODIO) <c1cc10@ecn.org>
Key fingerprint = 64A9 9498 B297 B49F D676 AAA1 9DA9 CABA 76A9 AC52
sub 2048g/F248FA79 2002-12-13 [expires: 2004-12-12]
_______________________________________________
hackmeeting mailing list
hackmeeting@kyuzz.org
http://lists.kyuzz.org/mailman/listinfo/hackmeeting
![[<--]](/icons/prev.gif){kind=icon}
![[-->]](/icons/next.gif){kind=icon}