> In article <2557ua.be2.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote: > AB> > AB> Вопросы по 2-му решению. > AB> Hасколько серьезна угроза такого обхода файрвола и есть ли > инструментарий AB> для этого (про nmap можно не повторяться) ? > AB> И не будет ли достаточным вкатить в начало цепочек INPUT - filter и > AB> FORWARD - filter правила, блокирующие INVALID, для решения вопроса > AB> на 99% ? > Я думаю вполне. Если ivalid будут дропаться, то паразитного трафика Спасибо. Я уж было подумал, что вопрос останется втуне ;)
> не будет. Хотя даже если он и будет, я не вижу как им А я и сам не знаю пока. Hо в принципе проблема netfilter как файрвола в том, что он работает поверх ip-стека. Т.е. независимо от условий, анализируемых в правила, мак ли то, или уже IP, или даже TCP, или это HTTP заголовки, правила отрабатывают на полностю дешифрованом пакете. Другими словами, если я блокирую пакеты с некоторого MAC, то все равно сначала система их примет полностью и дешифрует в skbuf, а уж потом фильтр их дропнет.
> воспользоваться. А почему на 99? Hу так я ж параноик ;)
