дорвались руки до ipchains ????

0

0

вопрос опция -f вобще не пропускает фрагменты тобиш прилетел первый
фрагмент и все или она пропустит фрагменты после первого!!!
обясните плиз чуть подробнее!!!
Или ее вобше не включать чтоб ядро все фрагменты собирало само
тогда ядро 2.2 не грохнится при получении токма фрагментов без первого!
Или еще лучше что вобще с фрагментами делать?

Далее нашарил такую штуку rp_filter  вроде security можно повысить
чтоб он проверял реально есть ли клиент который хочет коннектится
Енто вроде очень хорошо конечно несколько медленно но хотелось бы 
как то DNS защитить !! Вот токма тама написанно что ента штука для 
роутеров предназаначена  или для "домашнего хоста" про сервер не слова
ктонить пробовал?

Ссылка

←	Like xinetd

А вот тут очень интеремная книжеца

→

Для защиты DNS на текущий момент есть такие основные действия:

1. тотальный chroot для named (ну это скорее для зажичы машины, на
которой named запущен)
2. разделение зоны (это - для защиты корпоративного домена и разделения
внутренней и внешней части корпоративной сети)
3. Подпись DNS (но полность еще не реализована - но в BIND 8.2.2 уже
что-то сделано в эту сторону)

Если есть дополнения, буду рад.

ivlad ★★★★★
(16.03.00 09:07:16 MSK)

Это конечно хорошо я имел в виду засорения кэша всякми левыми 
ответами по UDP протоколу!!! И правда в исходниках не нашел с маху ничего 
о том как перевести DNS только на TCP зато на сервере есть что то в
духе надобно в controls прописать IP адресс и порт тоды на этом
порте будет работать токма TCP. А вобще я думаю скоро все 
переползут на RFC2065 как ваше мнение?
Да а про фрагменты?

Aleks_IZA ★
(16.03.00 15:04:53 MSK) автор топика

Ответ на: комментарий от Aleks_IZA 16.03.00 15:04:53 MSK

IMHO - на rp-filter забить, а во входящих цепочках с инета ipchains заблокировать все соурс пакеты с локальными твоими адресами. А что такое глобальный chroot для named?

anonymous
(17.03.00 06:28:18 MSK)

Ответ на: комментарий от anonymous 17.03.00 06:28:18 MSK

> А что такое глобальный chroot для named?
Ну запускаешь named во первых не от root (точнее, он child'а не рутовского
родит. Вот вторых chroot()'ишь его. В третьих, что б он с syslog работать
мог, в chroot-нутом окружении создай socket для syslog'а (man syslogd на
предмет "-a")

Это - то, что я понимаю под "глобальным chroot" ;)

ivlad ★★★★★
(17.03.00 08:32:38 MSK)

Ссылка

а ктонить может реальным конфигом блеснуть

Ну очень бы хотелось реальный конфиг изучить а то тот народ который
раньше обещал прислать молчит чегото?
iza@mail.ru с благодарностью!

Aleks_IZA ★
(17.03.00 09:51:34 MSK) автор топика

Ссылка

Ответ на: комментарий от ivlad 16.03.00 09:07:16 MSK

еще можно ACL доступа настроить чтобы не давать AXFR кому ненадо. Хотя это скорее не защита DNS, а защита сети от изучения из-вне.

maxcom ★★★★★
(20.03.00 11:27:21 MSK)

Ответ на: комментарий от maxcom 20.03.00 11:27:21 MSK

Ну не приходилось мне chrootить, хочется поподробней узнать. Ну во первых как я понимаю надо его переинсталить с префиксом куданить подальше типа /usr/local/cdnochance/named/ , в /etc создать линки на resolve.conf лежащий в руте user_named в inetd.conf прописать типа запустить через tcpd выполнив chroot chdir , но как это все в реальности должно выглядеть понятия не имею. Как бы поподробней, а ACL к AXFR это фича самого BIND ? Я ее не заметил... И ваще кто имеет право читать мой DNS порт кроме слэйва моей зоны если я примари? Я слышал что ресолвы в named.conf ваще прописывать в домене .ru нельзя? Всмысле ими не пользуются. Особенно когда несколько доменов на одном IP зарегестрировано...

anonymous
(22.03.00 20:39:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Like xinetd

Security

А вот тут очень интеремная книжеца

→

а ктонить может реальным конфигом блеснуть

Похожие темы