naja, publizieren... einen teil. den zu den tcp flags:
iptables --append INPUT --protocol tcp --tcp-flags ALL NONE --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags ALL NONE --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags ALL NONE --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags ALL NONE --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags ALL NONE --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags ALL NONE --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags SYN,FIN SYN,FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags SYN,FIN SYN,FIN --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags SYN,FIN SYN,FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags SYN,FIN SYN,FIN --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags SYN,FIN SYN,FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags SYN,FIN SYN,FIN --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags SYN,RST SYN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags SYN,RST SYN,RST --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags SYN,RST SYN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags SYN,RST SYN,RST --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags SYN,RST SYN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags SYN,RST SYN,RST --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags FIN,RST FIN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags FIN,RST FIN,RST --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags FIN,RST FIN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags FIN,RST FIN,RST --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags FIN,RST FIN,RST --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags FIN,RST FIN,RST --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags ACK,FIN FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags ACK,FIN FIN --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,FIN FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,FIN FIN --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags ACK,FIN FIN --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags ACK,FIN FIN --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags ACK,PSH PSH --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags ACK,PSH PSH --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,PSH PSH --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,PSH PSH --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags ACK,PSH PSH --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags ACK,PSH PSH --jump DROP
iptables --append INPUT --protocol tcp --tcp-flags ACK,URG URG --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan eingehend: "
iptables --append INPUT --protocol tcp --tcp-flags ACK,URG URG --jump DROP
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,URG URG --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan ausgehend: "
iptables --append OUTPUT --protocol tcp --tcp-flags ACK,URG URG --jump DROP
iptables --append FORWARD --protocol tcp --tcp-flags ACK,URG URG --match limit --limit 1/second --jump LOG --log-level notice --log-prefix "Stealthscan geroutet: "
iptables --append FORWARD --protocol tcp --tcp-flags ACK,URG URG --jump DROP
da ich noch die grenze der leistungsfähigkeit testen will, ist ale noch ohne eigene chains gemacht.
mich würde das string matching interessieren. ich habe einen 2.6 er kernel mit sarge. bei mir klappt das nicht... was hast du für erfahrungen gemacht?
deine blacklist bezieht sich nur auf is, obwohl dein script diese auch von intern verbietet. im internet kannst du nich nach mac matchen, aber in LANs würde ich dies tun. dann kannst du den host nicht nur droppen, wenn er mal die eine ip genommen hat. wenn ich der host wäre, wäre ich ganz schnell mit einer anderen unterwegs. nun kann man auch macs faken - aber das is nich so leicht wie ips...
was hast du bezüglich der performance von transparenten proxies für erfahrungen gemacht?
hast du schon was von syncookies gehört?
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
naja, kommt drauf an, wo die firewall steht. wenn du in ner firma den leuten auf die finger klopfen sollst, sobald sie etwas privates tun, ist drop wohl die richtige wahl. in einem wohnheim, was für studenten mit net t2 versorgt wird, kann man dann streiten. mit drop hast du mehr arbeit, aber weist besser bescheid was durch geht. bei accept hast du weniger arbeit, aber wehe, du sollst ein protokoll, von dem du nur weist, wieviel gb die letzte woche drüber geflossen sind, zuverläsig sperren.....
mfg
richard