Черные дыры. net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 Это превращает машину в черную дыру при попытке подключиться к портам, которые не слушают. Nmap по настоящему не любит это. Защита очереди сокета от SYN атак. Основной из самых популярных атак остается SYN флуд, при которой очередь сокета атакуемого хоста переполняется некорректными поп
Опубликовано: 05.03.2005
Полдня потратил на то чтобы найти более менее рабочий пример, не нашел, короче пришлось самому ваять. Данный конфиг ipchains-а, открывает для локальной сети службы FTP, SSH, SMTP, WWW, DNS, POP3, IMAP. Для внешнего мира остается только SMTP, DNS и WWW. #!/bin/sh # write btr icq:#105360 . /etc/rc.d/init.d/functions . /etc/sysconfig/network echo 1 &g
Опубликовано: 05.03.2005
АНАЛИЗАТОР СЕТЕВОГО ТРАФИКА 1. Введение ----------- Если вы - системный администратор, специалист по безопасности, или вам просто интересно, что происходит в вашей локальной сети, то перехват и анализ нескольких сетевых пакетов может быть полезным упражнением. При помощи небольшой программы на языке С и базовых знаний сетевых технологий вы сможете
Опубликовано: 05.03.2005
достаточно ли для _полноценной_ работы subj переместить блок с fr_checkp на позицию после метки pass? оно работает, но у меня нет возможности тестирование по полной программе устроить. переносить в netinet/ip_input.c, если надо иметь в ipfw внешние адреса (до nat на input и после nat на output); в netinet/ip_output.c, если надо иметь в ipfw внутрен
Опубликовано: 05.03.2005
iptables - встроенный в ядро брандмауэр При написании использовался Iptables Tutorial http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html Во все ядра Linux, начиная с 2.0, встроено средство для фильтрации сетевых пакетов. В 2.0 это ipfwadm, в 2.2 - ipchains, а в 2.4 и 2.6 - iptables. Мы будем рассматривать последний вариант. Принцип фил
Опубликовано: 05.03.2005
Содержание * Введение * Подготовка * Простенький stateful NAT * Перенаправление (redirect) * FTP proxy * Использование отдельного IP-адреса для трансляций на внешнем интерфейсе * Безусловная полная трансляция * Контроль над трансляцией Введение -------- Синдром гамака является одним из ключевых моментов деградации сисадмина. Он начинается с того, ч
Опубликовано: 05.03.2005
Если ограничение пропускной способности для каждого конкретного пользователя - не самоцель, а только средство "справедливо" разделить между ними имеющийся канал, то более корректной будет работа с одним каналом и несколькими очередями (возможно, с различным проиритетом), например: /sbin/ipfw pipe 1 config bw 1000Kbit/s /sbin/ipfw queue 1 config pip
Опубликовано: 05.03.2005
Введение. --------- Как известно устройства Cisco позволяют фильтровать исходящие HTTP запросы (команды filter url и url-server), посылая запрашиваемые URL на внешний сервер для проверки. Но поддерживаются только коммерческие продукты фирм Websensc (http://www.websense.com/) и N2H2 (http://www.n2h2.com/). Но если задача только обрезать баннеры и не
Опубликовано: 05.03.2005
Установка Apache, suEXEC и PHP как CGI Версии софта: - apache_1.3.27rusPL30.16 - php-4.2.3 Проблема -------- Апач запускается от имени www:www, также запускаются и скрипты клиентов. Это приводит к тому, что скрипт клиента не имеет прав создавать и изменять файлы в своей же домашней папке. Поэтому приходилось создавать папки/файлы с правами записи д
Опубликовано: 05.03.2005
Скрипт протоколирования событий на shell. Содержание: * Зачем это нужно; * Формулируем основные требования; * Интерфейс и расположение; * Переменные скрипта; * Отправка e-mail; * Запись в файл протокола и его ротация; * Что получилось; * Просмотр записей в браузере; * Заключение. Зачем это нужно Предположим, что у нас есть UNIX-box или целая ферма
Опубликовано: 05.03.2005