LINUX.ORG.RU

Ответ на: комментарий от jackill

> Ок. Замечаем - уязвимость в ipfw2 - компоненте цельного BSD - т.е. уязвимость во всем FreeBSD.

я имел ввиду что помимо ipfw2 во фре есть ipfw1 который данной уязвимостью не страдает

anonymous
()
Ответ на: комментарий от Sun-ch

> И в чем же я неправ, мой костноязычный друг? > CVE-2005-3110: > A race condition in the ebtables netfilter module (ebtables.c), when running on an SMP system that is operating under a heavy load, might allow remote attackers to cause a denial of service (crash).

> Это, дружок, DoS в чистом виде, D - это от слова dead, когда ядру полный писец.

Нет, мой юный друк, не нужно путать теплое с мягким. Протри свои запотевшие лапки и узнай, что ebtables настолько малоиспользуемая фича, что сравнивать ее дырой в ipfw можно только перекушав с утра портвейна.

Для чистоты эксперимента необходимо найти такую уязвимость в iptables, при которой система падает на специально созданном трафике, а не на специально созданных правилах.

> Sun-ch # (12.01.2006 15:51:40)

rtc ★★
()
Ответ на: комментарий от rtc

> Для чистоты эксперимента необходимо найти такую уязвимость в iptables, при которой система падает на специально созданном трафике, а не на специально созданных правилах.

Такой эксперимент не будет чистым, потому что найденная уязвимость в ipfw не может свалить систему на _любых_ правилах, а только на специально созданных. :)

Sorcerer ★★★★★
()
Ответ на: комментарий от Sorcerer

>> Для чистоты эксперимента необходимо найти такую уязвимость в iptables, при которой система падает на специально созданном трафике, а не на специально созданных правилах.

> Такой эксперимент не будет чистым, потому что найденная уязвимость в ipfw не может свалить систему на _любых_ правилах, а только на специально созданных.:-)

Хорошо, на любых reset, reject or unreach правилах :)

> Sorcerer * (12.01.2006 17:12:46)

rtc ★★
()
Ответ на: комментарий от Sun-ch

> CVE-2005-3275:
> The NAT code in Linux kernel incorrectly declares a variable to be static, which allows remote attackers to cause a denial of service (memory corruption).

Это только NAT, а не вообще любое accept/reject правило.
Не нужно выдавать желаемое за действительное...

> Sun-ch # (12.01.2006 17:38:28)

rtc ★★
()
Ответ на: комментарий от rtc

> Хорошо, на любых reset, reject or unreach правилах :)

Да, тогда ты докажешь, что iptables более безопасен, чем ipfw до патча на reset, reject or unreach правилах. В то же время ipfw более безопасен, чем iptables до патча при использовании nat. Что из этого всего следует? Ничего особенного. К чему тогда этот спор? :)

Sorcerer ★★★★★
()
Ответ на: комментарий от Sun-ch

> Чё Андрейка? Машину времени уже изобрели?

Да не, он софт какой-то под виндой хацкал, откатом времени на полгода в прошлое.

anonymous
()
Ответ на: комментарий от rtc

Да это только нат, это только бридж, но в любой случае будет kernel crash, в отличие от BSD, где просто будет нарушена работа брандмауэра.

Sun-ch
()

Около года назад окончательно и бесповоротно мигрировал на pf(4), чего и вам всем желаю.

p.s.: ей-богу, смешно наблюдать вашу перепалку из серии "какая бага более бажная". Могу сказать одно - у ipfw есть альтернативы, и не все, кто использует пакетные фильтры на FreeBSD, делают ЭТО с помощью ipfw. Если бы подобная уязвимость была в iptables, пользователям Linux, наверное, было бы хуже, т.к. у них альтернатив нет.

toxa ★★
()
Ответ на: комментарий от Sorcerer

>> Хорошо, на любых reset, reject or unreach правилах:-)

> Да, тогда ты докажешь, что iptables более безопасен, чем ipfw до патча на reset, reject or unreach правилах. В то же время ipfw более безопасен, чем iptables до патча при использовании nat. Что из этого всего следует? Ничего особенного. К чему тогда этот спор?:-)

Скажем так, машин с простыми reset, reject or unreach несравнимо больше, чем машин с NAT и bridge вместе взятых.
А спор абсолютно ни о чем, хотя можно и покричать, что FreeBSD отстой и т.п.

> Sorcerer * (12.01.2006 17:51:10)

rtc ★★
()
Ответ на: комментарий от Sun-ch

> Да это только нат, это только бридж, но в любой случае будет kernel crash, в отличие от BSD, где просто будет нарушена работа брандмауэра.

III. Impact

An attacker can cause the firewall to crash by sending ICMP IP
fragments to or through firewalls which match any reset, reject or
unreach actions.

> Sun-ch # (12.01.2006 17:57:03)

rtc ★★
()
Ответ на: комментарий от Sun-ch

> Может ты еще покажешь какой нибудь стейтфул брандмауэр для линакса, помимо иптаблес?

Легко.

www.hipac.org
Намного быстрее iptables по многим показателям.

> Sun-ch # (12.01.2006 17:58:38)

rtc ★★
()
Ответ на: комментарий от rtc

> Скажем так, машин с простыми reset, reject or unreach несравнимо больше, чем машин с NAT и bridge вместе взятых.

Это утверждение нельзя ни доказать, ни опровергнуть. :)

Sorcerer ★★★★★
()
Ответ на: комментарий от Sorcerer

>> Скажем так, машин с простыми reset, reject or unreach несравнимо больше, чем машин с NAT и bridge вместе взятых.

> Это утверждение нельзя ни доказать, ни опровергнуть.:-)

Не нужно пробовать пищу, чтобы понять, что она испорчена.

> Sorcerer * (12.01.2006 18:30:34)

rtc ★★
()
Ответ на: комментарий от Sun-ch

> Ну дык перегружаться надо, люди могут не понять

Ты что, последние пять лет с лениным в обнимку в одном мавзолее лежал? Есть волшебные команды rmmod iptables и modprobe iptables.

no-dashi ★★★★★
()

модератор - закрой тему о споре!

anonymous
()
Ответ на: комментарий от Sorcerer

>> я имел ввиду что помимо ipfw2 во фре есть ipfw1 который данной уязвимостью не страдает

>ipfw1 во FreeBSD нет.

>Sorcerer * (*) (12.01.2006 17:07:56)

На самом деле оба не правы ;)

в FreeBSD 4.x есть ipfw1 & ipfw2
в FreeBSD 4.x начиная с какой-то версии можно собрать ipfw2

в FreeBSD 5.x и FreeBSD 6.x есть только ipfw2

В FreeBSD 6.0 в которой и обнаружена уязвимость нет ipfw1, так что сказать что ipfw1 не подвержен уязвимости - глупость

odip ★★
()
Ответ на: комментарий от Sun-ch

>стейтфул брандмауэр для линакса, помимо иптаблес?

А в чем проблема с ipchaines?

jackill ★★★★★
()
Ответ на: комментарий от stellar

>Любой дистрибутив Linux, в определенной мере, есть цельная система

Офигеть. Когда удобно в споре - он цельная система. Когда неудобно - нецельная.

В linux три пакетных фильтра, если что. Если хоть раз собирал kernel, мог это увидеть.

И они (офигеть) даже работают.

jackill ★★★★★
()
Ответ на: комментарий от stellar

>Возможно, это проблема есть только у Редхата, но тем не менее -- это бардак.

Это не бардак. Читайте же доки уже. По умолчанию считается, что ты используешь собранные ядра от RH.

Ядра от редхат имеют криптографическую подпись и ее проверка включена. Поддержка же загрузки модулей от других ядер отключена.

Все это сделано по соображениям безопасности (чтобы не орали - модульное ядро лучше).

Отключаешь, пересобираешь и хоть усобирай модули.

jackill ★★★★★
()
Ответ на: комментарий от toxa

fat

> пользователям Linux, наверное, было бы хуже, т.к. альтернатив нет
как не странно - они есть.
и потом - большинство проблем с iptables - в экзотичных модулях.
но что ipfw - suxx по функционалу - это точно, также как и фрюхин встроенный nat .:)
pf навчерное таки значительно получше и сравним с iptables.

mumpster ★★★★★
()

здрасьте всем а не подскажет ли кто как щас BSD или Linux брандмауэры, особенно если NAT применяется работают с всякого рода войсовыми протоколами.

anonymous
()
Ответ на: комментарий от anonymous

> здрасьте всем а не подскажет ли кто как щас BSD или Linux брандмауэры, особенно если NAT применяется работают с всякого рода войсовыми протоколами.

В 2.6.16 возможно будет добавлен sip connection tracking модуль.

> anonymous (13.01.2006 7:50:32)

rtc ★★
()
Ответ на: комментарий от jackill

>Отключаешь, пересобираешь и хоть усобирай модули.

Не кипятитесь, отключали. Но ругалось оно не на подпись.

stellar
()
Ответ на: комментарий от anonymous

> h323 уже можно через NAT пропускать?

SIP не есть h323.

The SIP conntrack/NAT modules support the connection tracking/NATing of
the data streams requested on the dynamic RTP/RTCP ports, as well as mangling of SIP requests/responses.

> //Loseki

rtc ★★
()
Ответ на: комментарий от jackill

В актуальном ванилла три пакетных фильтра?
[Netfilter]
[ ] <- Остальное тут заполнить

valeri_ufo
()

пасаны, по большому счету, чего смакуем-то ? обнаруженнную и исправленнную уязвимость во фре ? да ну его на йух, оно вам надо ?

W ★★★★★
()
Ответ на: fat от mumpster

> но что ipfw - suxx по функционалу - это точно, также как и фрюхин встроенный nat .:)

что значит "встроенный nat"? три пакетных фильтра - три пути делать nat.

toxa ★★
()
Ответ на: комментарий от anonymous

>Их три штуки. ipfw ipf pf

Видимо чем меньше букв, тем меньше функциональности :)

Ubnormal
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.