[hackmeeting] este año temeis que vengan leims...

Esteve Fernàndez esteve en sindominio.net
Lun Ago 20 02:44:23 CEST 2001


On Mon, 20 Aug 2001 02:07:24 +0200
jjavi <qemm en upseros.com> wrote:

> la gente que vaya al meeting supongo que no se pondran hacer gilipolleces 
> pero si temeis la posible invasion de leims y de scriptkiddies al 
> meeing entonces no abrais el hm a inet por que si que se podria liar.
> Bueno yo sigo manteniendo mi ponencia sobre firewalling sobre ipchains 
> aunque parece que no las teneis el cariño que le tengo yo.un saludo

Sólo tienes que probar iptables para darte cuenta de lo que ha evolucionado
el fw de linux:
- límite de transferencias para evitar DoS
- análisis de los paquetes según las "flags" de tcp (con las ipchains sólo puedes
filtrar sobre syn, pero con iptables puedes filtrar por cualquier combinación
de los 6 bits de tcp), así que uno ya se puede despedir de escaneos como
xmas, null, fin, ack
- tb puedes decidir qué respuesta darles (si no recuerdo mal, con ipchains
los rejects sólo podían ser con mensajes icmp, aunque ni siquiera me acuerdo
que tuviese reject), con iptables tb puedes responder un RST y así engañar
completamente a los escaners (p.ej. un syn scan espera un rst en caso de estar
cerrado y un syn,ack en caso de estar abierto).
- control por estados (lo que le llaman "statefulness"), que sólo se encontraban
en fw mucho más potentes, aunque no me acuerdo de si lo tenían en el ipfilter de
freebsd y openbsd (el netbsd no lo he tocado mucho).
- el soporte de nat está incluido en iptables a través de su propia tabla, así que
bye bye ipmasqadm
Todo esto es un vistazo por encima, que no soy Rusty (el que está detrás de todo
el netfilter), pero lo cierto es que llegas a quedarte flipado de tener un fw
libre (y gratis) tan potente. Cuando vuelga al curro me toca seguir haciendo unas cosas
sobre AS/400 y otra máquina que corre AIX y lo cierto es que ya podrían tener un fw
tan sencillo de entender y potente como iptables. Adéu.

PD: antes que me lo preguntéis... no no me paga netfilter ;-)
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 232 bytes
Descripción: no disponible
Url        : https://listas.sindominio.net/mailman/private/hackmeeting/attachments/20010820/f2a08f61/attachment-0001.pgp


Más información sobre la lista de distribución HackMeeting