[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Re: SuSEfirewall2 - Episode II



...

Si une, mais c'est subtile:
Lorsque tu tente d'accéder à un service qui ne tourne pas, le machine renvoi une réponse icmp "port unreachable"
Si l'adresse ip est inaccessible le dernier routeur renvoi "no route to host".

Donc "Pas de réponse", c'est déjà une réponse, mais tu ne bouffe de bande passante à répondre.

Ensuite avec iptables tu peux tricher sur la réponse, par exemple faire répondre à un machine sur le port 80 "no route to host". C'est marrant ce genre de réponse tu ping une machine et elle te répond qu'elle n'a pas de route vers elle-même ! Dans ce cas là c'est flagrant, y' a un truc.

Mieux: tu fais simplement un "-j DROP"

Ton firewall va ignorer le paquet et le sender devra attendre qu'il y aie
un timeout avant d'avoir une réponse ;-)

Et toi tu ne renvois rien du tout...

--
  -o) Pascal Bleser   ATOS Origin/Aachen(DE) |
  /\\         <pascal.bleser@atosorigin.com> |
 _\_v <guru@linuxbe.org>                     |
---------------------------------------------|
Jesus saves,Buddha makes incremental backups :
---------------------------------------------'

_______________________________________________
Linux Mailing List
Archives: http://unixtech.be/mailman/listinfo/linux