Új hozzászólás Aktív témák

• #198 Zwodkassy senior tag bacus #197

  Új Válasz 2014-09-29 09:34:14 #198

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Zwodkassy

  senior tag

  válasz bacus #197 üzenetére

  Hali Bacus!

  A Tűzfal szabályok kiértékelésének menetét nagyjából ismerem/ismertem. Számomra a "gondot" a "Dst-Limit" működése okozta. Mivel választ nem kaptam a működésére, elkezdtem a dologgal játszani. Jelenleg (idő hiányában) ott tartok, hogy a "Limit" már játszogattam egy kicsit. Amit én félreértettem mind a "Limit" és mind a "Dst-Limit" kapcsán az a konkrét működése. Ugyanis egy 20/1min beállítás esetében, én azt hittem, hogy ez azt jelenti, hogy 20db esemény fér bele percenként, és utána jön a következő szabály. Valójában ez egy sebesség érték. Azaz 20db/perc sebességet figyeli :-)) Sajnos a "Burst" érték kezelését még mindig nem sikerült megfejtenem :-((
  Amit hiányolok a három soros tűzfal-szabályban, hogy csak az első sorban definiálja a TCP protokoll mellett a 21-es port számot (bár végül is így is jó lehet):

  add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
  comment="drop ftp brute forcers"
  add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
  add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
  address-list=ftp_blacklist address-list-timeout=3h

  Annyit mindenesetre már csiszoltam a dolgon, hogy én első körben ellenőrzöm a protokollt (TCP) és a hozzá tartozó portot (21), és ha ez teljesül akkor egy külön "Chain" használok a további feldolgozásra (action=jump). Számomra könnyebben érthető és átlátható. Egyébként a te általad leírt több lépcsős feldolgozás sem rossz ötlet :-)

Új hozzászólás Aktív témák