[Wien] (security tipp) Open Recursion (war: Re: Knoten GOZ mit FFFW 1.7.0)

[Markus Gschwendt]

On Die, 2010-09-21 at 12:22 +0200, L. Aaron Kaplan wrote:
...
> Blocken kann jeder ungefaehr so:
> 
> iptables -A INPUT -p udp -s 193.238.156.0/22 -d <meine_ip> --dport 53 -j ACCEPT # Funkfeuer IP Range 1
> iptables -A INPUT -p udp  -s 78.41.112.0/21 -d <meine_ip> --dport 53 -j ACCEPT   # Funkfeuer IP Range 2
> iptables -A INPUT -p udp  -s 192.168.0.0/16 -d <meine_ip> --dport 53 -j ACCEPT   # lokales LAN
> iptables -A INPUT -p udp  -d <meine_ip> --dport 53 -j DROP
> 
> (und das ganze nochmals wiederholen mit -p tcp bzw. fuer alle -d <meine IPs> - so viele wie ihr habt).
> Falls jemandem eine bessere Filterregel einfaellt, bitte posten! Freue mich ueber Feedback. Wir haben zum Glueck ja ein paar DNS Spezialisten in unserem Umfeld.
...

ich glaube, dass das für min. 80% der knotenbetreiber zu kompliziert
ist, bzw. sie sich nicht drum kümmern.

ich denke grade an die probleme mit 'netperf'...

ohne ein fertiges ipkg wird das kaum wer machen, die shell ist für die
meisten ein rotes tuch. und selbst mit ipkg wird's schwierig.
allerdings könnte man das recht gut per autoupdate zumindest auf einen
teil des netzes anwenden.

markus
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 1832 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20100921/a5fe0b06/attachment.bin>