Uwaga do PLD (init.d/firewall)
Przemysław Sztoch
psztoch at finn.pl
Wed May 28 23:27:12 CEST 2003
Szanowni Koledzy!
Skrypt /etc/rc.d/init.d/firewall dostarczany z PLD ma pewną wadę.
Ustawia on z automatu rp_filter na 1 na wszystkich interfejsach po
włączeniu "./firewall start".
Powoduje to, że jeśli posiadamy serwer z kilkoma kartami (eth0 i eth1)
w różnych podsieciach to IP spoofing protection wycinać nam będzie
poprawne pakiety.
Uważam, że w pliku /etc/sysconfig/firewall powinna dojść linia podobna
do poniższej:
ipv4_SPOOF_PROT=0/1
Oczywiście domyslnie na 1 bo zazwyczaj tak się używa.
Druga usterka to "./firewall restore".
Restore nie może działać bo jest w złą strone pipe skierowany. Jest:
$iptrestore > $FIREWALL_DIR/saved-rules
A powinno być:
$iptrestore < $FIREWALL_DIR/saved-rules
---
Przemysław Sztoch, LTC Sp. z o.o.
psztoch at finn.pl, http://www.finn.pl, +48 (42) 684-98-91
More information about the feedback
mailing list