separar subredes usando iptables

[Cristian Rodriguez]

El 26/10/05, Juan Carlos Muñoz Ilabaca<jcmunoz en dcc.uchile.cl> escribió:

> no se supone que un usuario legitimo no se va a conectar a algo que no se
> supone que se debe conectar???

Dime , supones que es ilegitimo porque se conecto por error a algun
servicio o puerto al cual no tenia permiso por error ??


>por eso es legitimo, porque se esta conectando
> al servicio que corresponde como corresponde no???

Creo que un usurio legitmo es aquel que tiene las credenciales
requeridas para usar un servicio deteminado en tu red, y que no atenta
contra el.claor eso.

por ende, ese usuario legitmo, con escasos conocimientos , se puede
equivocar y poner mal una direccion un puerto... y no lo vamos a
exorcisar o banear por ello no ?

>
> yo creo que es solamente otra forma de pensar y no una imposición de algún
> tipo, yo por mi parte no estoy de acuerdo y creo que dependiendo de que me
> quiera proteger es la forma en la que voy a actuar, si tengo un servicio que
> se que me van a querer atacar, entonces lo dejo en drop y genero logs en el
> iptables,

tal como te dijo HVB drop no presta _ninguna_ mejora real de seguridad
en comparacion a REJECT, DROP seria como para una situacion de
emergencia.

>así se quien esta tratando de penetrar mis sistemas y si alguien
> legitimo que quiera entrar no puede, entonces avisará y se verificará cual es
> su problema con el log de conexión...

si.. y esperando un largo timeout sin saber que pasa...

 ademas si hay alguien ilegitimo intentando penetrar tus sistemas, y
es un usuario experto, le va a importar un carajo si es reject o drop.
de seguro.




--
Cristian Rodriguez.
"for DVDs in Linux screw the MPAA and ; do dig $DVDs.z.zoy.org ; done | \
  perl -ne 's/\.//g; print pack("H224",$1) if(/^x([^z]*)/)' | gunzip"