Jde nějak dosáhnout toho, že na jedno pravidlo ve firewallu se provedou dvě akce?
Hodně zjednodušeně : pokud někdo přistoupí na port 80 tak se o tom udělá záznam do logu A ZÁROVEŇ se dostane na seznam zlobivci_port_80.
Jedno i druhé umím udělat separátně, ale jak udělám obojí naráz?
Děkuji za odpověď, nebo nasměrování na příslušnou kapitolu wiki.
❗️Toto je původní ISPforum.cz ve stavu k únoru 2020 běžící v omezeném režimu pro archivační účely. Aktivní verzi naleznete na adrese https://telekomunikace.cz
Jedno pravidlo ve firewallu, dvě akce
- aliney
- Příspěvky: 1312
- Registrován: 15 years ago
-
Pelirob
- Příspěvky: 162
- Registrován: 13 years ago
Dejme tomu, že mám ve fw několik jednoduchých pravidel proti různým škodičům a chtěl bych v logu mít, kdo se pokoušel lézt kam nemá, třeba pravidlo pro detekci a blokování portscanu:
Je rozumné ho mít ve fw 2x - jednou s action=log a jednou s action=drop? Nebude mít duplicitní zpracování pravidel nepžíznivý vliv na výkon, nebo bezpečnost?
Kód: Vybrat vše
add action=drop chain=input comment="blokovat pokusy o port scan" disabled=no protocol=tcp psd=15,5s,3,1Je rozumné ho mít ve fw 2x - jednou s action=log a jednou s action=drop? Nebude mít duplicitní zpracování pravidel nepžíznivý vliv na výkon, nebo bezpečnost?
0 x
- hapi
- Příspěvky: 12989
- Registrován: 19 years ago
- aliney
- Příspěvky: 1312
- Registrován: 15 years ago
Hapi to ale neznamena, ze na nej nekdo neutoci 
Pelirob: pokud nemas takovych pravidel 100, tak 2x 4x ani 8x to na vykonu nijak nepoznas...
Pelirob: pokud nemas takovych pravidel 100, tak 2x 4x ani 8x to na vykonu nijak nepoznas...
0 x
-
ludvik
- Příspěvky: 4448
- Registrován: 15 years ago
V každém případě action může být jen jedno. To neukecáš.
0 x
-
Rudolf Dvořák
- Příspěvky: 421
- Registrován: 16 years ago
- antispam: Ano
- Bydliště: Czech Republic
- Kontaktovat uživatele:
Me napada jenom dat pred ty dve treti pravidlo aby pokud neodpovida tem dvoum akci to preskocilo ty dve, toreticky by to teda mohlo byt rychlejsi ale pri 10 pravidlech bych to neresil...
doufam ze to neni blbost...
doufam ze to neni blbost...
0 x
-
ludvik
- Příspěvky: 4448
- Registrován: 15 years ago
goto tam není 
Ale řeší se to "stromečkem" pravidel, kde v hlavní větvi (kmenu) jsou jen odskoky do jednotlivých chainů řešících konkrétní problém. Pak se neprochází nikdy všechny pravidla. Ale v tomhle malém počtu pravidel se to nevyplatí se s tím párat. Tisíce už jo, stovky ještě ne (i když u RBček je ten limit nižší).
Ale řeší se to "stromečkem" pravidel, kde v hlavní větvi (kmenu) jsou jen odskoky do jednotlivých chainů řešících konkrétní problém. Pak se neprochází nikdy všechny pravidla. Ale v tomhle malém počtu pravidel se to nevyplatí se s tím párat. Tisíce už jo, stovky ještě ne (i když u RBček je ten limit nižší).
0 x
-
Rudolf Dvořák
- Příspěvky: 421
- Registrován: 16 years ago
- antispam: Ano
- Bydliště: Czech Republic
- Kontaktovat uživatele:
ludvik píše:goto tam není
Ale řeší se to "stromečkem" pravidel, kde v hlavní větvi (kmenu) jsou jen odskoky do jednotlivých chainů řešících konkrétní problém. Pak se neprochází nikdy všechny pravidla. Ale v tomhle malém počtu pravidel se to nevyplatí se s tím párat. Tisíce už jo, stovky ještě ne (i když u RBček je ten limit nižší).
Diky za vyvedeni z omylu, nikdy jsem to nepouzival psal jsem po pameti...
0 x
-
Pelirob
- Příspěvky: 162
- Registrován: 13 years ago
O.K. přesvědčili jste mě. Když to nejde jinak, budu muset psát některá pravidla 2x. Sice to pro 20 pravidel vypadá jako nesmysl, ale třeba jednou těch pravidel bude několik stovek a pak už by to význam mít mohlo.
Jinak hapi není to paranoia, jen jsem se chtěl už na začátku naučit řešit pravidla co nejefektivněji a vyvarovat se zbytečných začátečnických chyb. Až to budu dělat tak dlouho jako Ty a budu si umět napsat alespoň polovinu toho co Ty, myslím si že budu dost spokojený uživatel. Teď jsem spíš malé dítě, co dostalo na hraní novou hračku.
Jinak hapi není to paranoia, jen jsem se chtěl už na začátku naučit řešit pravidla co nejefektivněji a vyvarovat se zbytečných začátečnických chyb. Až to budu dělat tak dlouho jako Ty a budu si umět napsat alespoň polovinu toho co Ty, myslím si že budu dost spokojený uživatel. Teď jsem spíš malé dítě, co dostalo na hraní novou hračku.
0 x
- hapi
- Příspěvky: 12989
- Registrován: 19 years ago
v klidu, ono to asi ani jinak nepude než do dvou pravidel.
0 x
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 13 years ago
hapi píše:v klidu, ono to asi ani jinak nepude než do dvou pravidel.
pro prehlednost (a pripadne i usetreni poctu prolezanych pravidel - zalezi jak je to cely udelany) bych vyrobil nejaky novy chain a v nem 2 radky (log+drop).
Ovsem rozumnejsi je nemit na MT, kde to neni treba (AP apod) verejny IP, pripadne mit povoleny pristup jen z bezpecnych IP. U nas jediny MT co maji verejne IP jsou zakaznicka zarizeni, kde je public IP gatewaye pro zakaznika. A tyhle IPcka jsou blokovany (resp. nejsou povoleny) na accounting gateway, kterou vsechny packety stejne prochazi.
0 x