Jedno pravidlo ve firewallu, dvě akce

pelirob

Jde nějak dosáhnout toho, že na jedno pravidlo ve firewallu se provedou dvě akce?

Hodně zjednodušeně : pokud někdo přistoupí na port 80 tak se o tom udělá záznam do logu A ZÁROVEŇ se dostane na seznam zlobivci_port_80.

Jedno i druhé umím udělat separátně, ale jak udělám obojí naráz?

Děkuji za odpověď, nebo nasměrování na příslušnou kapitolu wiki.

aliney

a proc je problem, ze to bude na dve pravidla?

pelirob

Dejme tomu, že mám ve fw několik jednoduchých pravidel proti různým škodičům a chtěl bych v logu mít, kdo se pokoušel lézt kam nemá, třeba pravidlo pro detekci a blokování portscanu:

add action=drop chain=input comment="blokovat pokusy o port scan" disabled=no protocol=tcp psd=15,5s,3,1

Je rozumné ho mít ve fw 2x - jednou s action=log a jednou s action=drop? Nebude mít duplicitní zpracování pravidel nepžíznivý vliv na výkon, nebo bezpečnost?

hapi

mám pro to jenom jedno slovo

paranoia

:-)

aliney

Hapi to ale neznamena, ze na nej nekdo neutoci ;-)

Pelirob: pokud nemas takovych pravidel 100, tak 2x 4x ani 8x to na vykonu nijak nepoznas...

ludvik

V každém případě action může být jen jedno. To neukecáš.

rudolfdvorak

Me napada jenom dat pred ty dve treti pravidlo aby pokud neodpovida tem dvoum akci to preskocilo ty dve, toreticky by to teda mohlo byt rychlejsi ale pri 10 pravidlech bych to neresil...

doufam ze to neni blbost...

ludvik

goto tam není :-)

Ale řeší se to "stromečkem" pravidel, kde v hlavní větvi (kmenu) jsou jen odskoky do jednotlivých chainů řešících konkrétní problém. Pak se neprochází nikdy všechny pravidla. Ale v tomhle malém počtu pravidel se to nevyplatí se s tím párat. Tisíce už jo, stovky ještě ne (i když u RBček je ten limit nižší).

rudolfdvorak

goto tam není :-)

Ale řeší se to "stromečkem" pravidel, kde v hlavní větvi (kmenu) jsou jen odskoky do jednotlivých chainů řešících konkrétní problém. Pak se neprochází nikdy všechny pravidla. Ale v tomhle malém počtu pravidel se to nevyplatí se s tím párat. Tisíce už jo, stovky ještě ne (i když u RBček je ten limit nižší).

Diky za vyvedeni z omylu, nikdy jsem to nepouzival psal jsem po pameti...

pelirob

O.K. přesvědčili jste mě. Když to nejde jinak, budu muset psát některá pravidla 2x. Sice to pro 20 pravidel vypadá jako nesmysl, ale třeba jednou těch pravidel bude několik stovek a pak už by to význam mít mohlo.

Jinak hapi není to paranoia, jen jsem se chtěl už na začátku naučit řešit pravidla co nejefektivněji a vyvarovat se zbytečných začátečnických chyb. Až to budu dělat tak dlouho jako Ty a budu si umět napsat alespoň polovinu toho co Ty, myslím si že budu dost spokojený uživatel. Teď jsem spíš malé dítě, co dostalo na hraní novou hračku.

hapi

v klidu, ono to asi ani jinak nepude než do dvou pravidel.

dalibortoman

v klidu, ono to asi ani jinak nepude než do dvou pravidel.

pro prehlednost (a pripadne i usetreni poctu prolezanych pravidel - zalezi jak je to cely udelany) bych vyrobil nejaky novy chain a v nem 2 radky (log+drop).

Ovsem rozumnejsi je nemit na MT, kde to neni treba (AP apod) verejny IP, pripadne mit povoleny pristup jen z bezpecnych IP. U nas jediny MT co maji verejne IP jsou zakaznicka zarizeni, kde je public IP gatewaye pro zakaznika. A tyhle IPcka jsou blokovany (resp. nejsou povoleny) na accounting gateway, kterou vsechny packety stejne prochazi.