Linux. От новичка к профессионалу. 6-е изд

Download 63,9 Mb.

Pdf ko'rish

bet	385/519
Sana	27.03.2022
Hajmi	63,9 Mb.
	#513339

1 ... 381 382 383 384 385 386 387 388 ... 519

Bog'liq
Linux. От новичка к профессионалу ( PDFDrive )

Часть VI. Linux на сервере
Действие
Описание
REJECT
Уничтожает пакет и сообщает об этом отправителю с помощью ICMP-
сообщения. Параметр
-reject-with
позволяет уточнить тип ICMP-сообщения:
•
icmp-host-unreachable — узел недоступен;
•
icmp-net-unreachable — сеть недоступна;
•
icmp-port-unreachable — порт недоступен;
•
icmp-proto-unreachable — протокол недоступен.
По умолчанию это действие отправляет сообщение о недоступности порта. При
этом, используя сообщение icmp-host-unreachable, можно сбить с толку атакую
щего вас злоумышленника. Предположим, что вы просто решили отбрасывать
неугодные вам пакеты (действие
drop
). Н
о
злоумышленник будет посылать и
посылать вам эти пакеты, чтобы брандмауэр только и делал, что занимался бы
фильтрацией и удалением этих пакетов (один из видов атаки на отказ). А если
вы ответите сообщением icmp-host-unreachable, то злоумышленник решит, что
узел недоступен, т. е. что компьютер выключен, либо он уже достиг своей це
ли — добился отказа компьютера. С другой стороны, помните, что это действие
порождает ответный ICMP-пакет, что нагружает исходящий канал, который в
некоторых случаях (например, одностороннего спутникового соединения) очень
«узкий». Если злоумышленник пришлет вам 1 миллион пакетов, то вы должны
будете отправить 1 миллион сообщений в ответ. Подумайте, готовы ли вы к
такой нагрузке на исходящий канал
LOG
Заносит информацию о пакете в протокол. Полезно использовать для протоко
лирования возможных атак — если вы подозреваете, что ваш узел атакуется
кем-то. Также полезно при отладке настроек брандмауэра
RETURN
Возвращает пакет в цепочку, откуда он прибыл. Действие возможно, но лучше
его не использовать, т. к. легко ошибиться и создать непрерывный цикл: вы
отправляете пакет обратно, а он опять следует на правило, содержащее цель
RETURN
SNAT
Выполняет подмену IP-адреса отправителя (Source NAT). Используется в це
почках
postrouting
и
output
таблицы nat
DNAT
Выполняет подмену адреса получателя (Destination NAT). Используется только
в цепочке
postrouting
таблицы
nat
MASQUERADE
Похож на SNAT, но «забывает» про все активные соединения при потере ин
терфейса. Используется при работе с динамическими IP-адресами, когда про
исходит «потеря» интерфейса при изменении IP-адреса. Применяется в цепоч
ке
POSTROUTING
таблицы
nat

Download 63,9 Mb.

Do'stlaringiz bilan baham:

1 ... 381 382 383 384 385 386 387 388 ... 519