достаточно ли для _полноценной_ работы subj переместить блок с fr_checkp на позицию после метки pass? оно работает, но у меня нет возможности тестирование по полной программе устроить. переносить в netinet/ip_input.c, если надо иметь в ipfw внешние адреса (до nat на input и после nat на output); в netinet/ip_output.c, если надо иметь в ipfw внутрен
Опубликовано: 05.03.2005
iptables - встроенный в ядро брандмауэр При написании использовался Iptables Tutorial http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html Во все ядра Linux, начиная с 2.0, встроено средство для фильтрации сетевых пакетов. В 2.0 это ipfwadm, в 2.2 - ipchains, а в 2.4 и 2.6 - iptables. Мы будем рассматривать последний вариант. Принцип фил
Опубликовано: 05.03.2005
Содержание * Введение * Подготовка * Простенький stateful NAT * Перенаправление (redirect) * FTP proxy * Использование отдельного IP-адреса для трансляций на внешнем интерфейсе * Безусловная полная трансляция * Контроль над трансляцией Введение -------- Синдром гамака является одним из ключевых моментов деградации сисадмина. Он начинается с того, ч
Опубликовано: 05.03.2005
Если ограничение пропускной способности для каждого конкретного пользователя - не самоцель, а только средство "справедливо" разделить между ними имеющийся канал, то более корректной будет работа с одним каналом и несколькими очередями (возможно, с различным проиритетом), например: /sbin/ipfw pipe 1 config bw 1000Kbit/s /sbin/ipfw queue 1 config pip
Опубликовано: 05.03.2005
Введение. --------- Как известно устройства Cisco позволяют фильтровать исходящие HTTP запросы (команды filter url и url-server), посылая запрашиваемые URL на внешний сервер для проверки. Но поддерживаются только коммерческие продукты фирм Websensc (http://www.websense.com/) и N2H2 (http://www.n2h2.com/). Но если задача только обрезать баннеры и не
Опубликовано: 05.03.2005
Установка Apache, suEXEC и PHP как CGI Версии софта: - apache_1.3.27rusPL30.16 - php-4.2.3 Проблема -------- Апач запускается от имени www:www, также запускаются и скрипты клиентов. Это приводит к тому, что скрипт клиента не имеет прав создавать и изменять файлы в своей же домашней папке. Поэтому приходилось создавать папки/файлы с правами записи д
Опубликовано: 05.03.2005
Скрипт протоколирования событий на shell. Содержание: * Зачем это нужно; * Формулируем основные требования; * Интерфейс и расположение; * Переменные скрипта; * Отправка e-mail; * Запись в файл протокола и его ротация; * Что получилось; * Просмотр записей в браузере; * Заключение. Зачем это нужно Предположим, что у нас есть UNIX-box или целая ферма
Опубликовано: 05.03.2005
Встал тут вопрос подсчета апачевского трафика. После изучения вопроса было найдено два модуля - mod_watch от snert.com и mod_accounting. Первый весьма продвинут, но, имхо, тяжеловат и перегружен опциями и без настроек результатирующего файлва. дело в том, что хотелось бы сохранять еще и зону, с которой получен трафик (и которую выдает мне mod_ge
Опубликовано: 05.03.2005
- Автор: Artur Maj <artur.maj at seccure.net>, 14.05.2003. Перевод и редактирование: kAMIkaDze <kamikadze at mazafaka.ru> Эта статья в пошаговом режиме покажет, как установить и сконфигурировать Apache 1.3.x Web server так, чтобы уменьшить риск удачного проникновения в систему, при обнаружении новых дыр в этом по праву считающимся одним
Опубликовано: 05.03.2005
У loginа есть фича по увеличению таймаута при вводе нескольких неправильных паролей - особенно не поподбираешь. По понятным причинам у апачевских mod_auth* такого нет. А все-таки нужно и набросал я скриптик для "realtime" контроля логов на атаки типа wwwhackа. Может, кому сгодится. Критика приветствуется. #!/usr/bin/perl -w # httprot.pl, "request f
Опубликовано: 05.03.2005