On Thu, 28 Apr 2005 18:49:13 +0200
Maurizio Lemmo - Tannoiser <tannoiser@xxxxxxxxxxx> wrote:
> * giovedì 28 aprile 2005, alle 18:32, Ivan Sergio Borgonovo scrive:
> > > /sbin/iptables -A OUTPUT -p tcp -m owner --cmd-owner acroread -j
> > > REJECT--reject-with tcp-reset
> > riprova e controlla... lo scopo era diametralmente opposto.
> > Non avevo nessuna intenzione di essere graceful.
> Questo non lo e`. Semplicemente tcp-reset e` piu` veloce di
> icmp-unreacheable, e sintetizzando dice:
> "chiedimi il nilo"
mmm forse non è chiaro nei confronti di chi non voglio essere
graceful.
La roba che ho scritto
iptables -A INPUT -j ACCEPT $acroread
iptables -A FORWARD -j ACCEPT $acroread
passa amabilmente per
> cat erlug.mbox | grep acroread >>
> /home/eagleone/script/initscritp/start_iptable.sh
ma aggiunge delle regole "pigliatutto".
In realtà la cosa veramente crudele era un flush delle regole *prima*.
$acroread "teoricamente" dovrebbe essere sostituito con una stringa
vuota e quindi mantenere il resto della regola valida.
Volendo essere un po' più sicuri potevo scrivere che so...
$erpippoloacroreadfoca
ovvio che se fosse stato uno script di sgala avrei rischiato che la
variabile fosse ugualmente definita.
Era un tentativo di "malicious code injection".
--
Ivan Sergio Borgonovo
http://www.webthatworks.it
|