nixp.ru v3.0

24 мая 2017,
среда,
13:01:49 MSK

DevOps с компанией «Флант»
anonymous написал 17 февраля 2005 года в 01:09 (430 просмотров) Ведет себя неопределенно; открыл 1814 темы в форуме, оставил 5575 комментариев на сайте.

Я понимаю, что по поводу защиты\файрволла и т.д. сказано было уже много и в этом форуме тоже. Но хочется как минимум подвести под всем этим итог.

1) что правильно писать в iptables и почему!

скрипт genie видел, но он требует пояснений, зачем какие правила там стоят и почему не стоят другие.

2) а как насчет intrunsion detection?

как обезапаситься от атак на службы? под виндом сидит у меня Symnatec client firewall и гундит, что кто-то меня там где-то хочет пробить, а он не дает. не пропишешь же в iptables вообще все службы!

3) ну от антивирусов мы отказались, ну а sniffer? (или это относить к пункту (2))

опять таки это я знаю только про снифферов. но ведь есть и еще подобные вещи!

4) а все ли я учел в выше стоящих пунктах?

// Тему переместил(а) fly4life из форума «UNIX FAQ».

fly4life
propeller
1) что правильно писать в iptables и почему!

скрипт genie видел, но он требует пояснений, зачем какие правила там стоят и почему не стоят другие.

Ну, чтобы понять «зачем какие правила там стоят», нужно прочитать iptables-tutorial <font size=«-2»>(в гугле ищется на раз)</font> — оттуда узнаешь, что значит каждый аргумент в каждой строчке правил. После понимания этого придёт и понимание «почему» они там стоят.

Хотя, если Genie будет не лень, то он тебе может быть и сам расскажет ;)

propeller
2) а как насчет intrunsion detection?

как обезапаситься от атак на службы? под виндом сидит у меня Symnatec client firewall и гундит, что кто-то меня там где-то хочет пробить, а он не дает.

iptables — это далеко не IDS. iptables пердназначен для фильтрации трафика по заданным правилам. А IDS — это совсем другого круга приложение. В качестве оного можешь попробовать Snort.

А «обезопаситься от атак на службы» каким-то образом можно, пытаясь сочетать вместе IDS и iptables.

propeller
не пропишешь же в iptables вообще все службы!

Ну, кроме как непониманием работы iptables, я эту реплику больше расценить никак не могу.

propeller
3) ну от антивирусов мы отказались, ну а sniffer? (или это относить к пункту (2))

Что-то не фижу связи между антивирусом и сниффером. А также между сниффером и пунктом 2 (т.е. IDS, насколько я понял).

propeller
опять таки это я знаю только про снифферов. но ведь есть и еще подобные вещи!

Смотря что ты про них знаешь. А-то по фразе: «ну от антивирусов мы отказались, ну а sniffer? (или это относить к пункту (2)», сдаётся мне, что и о них ты знаешь немного.

propeller
4) а все ли я учел в выше стоящих пунктах?

ИМХО, в принципе, для защиты линукс сервера тебе понадобятся iptables, логирующая система (IDS или даже простой логгер, типа iplog или portsentry) и человек, периодически следящий за показаниями логирующей системы. Ну, и регулярные backup с патчами сервисов никогда не будут лишними ;).

П.С. «full security» не существует (по кнайней мере, в сети) ;)

Genie
Хотя, если Genie будет не лень, то он тебе может быть и сам расскажет ;)

объяснять всё и подробно — дудет не то, чтобы лень (хотя и это тоже), но и некогда, и, насколько я понимаю дело объяснений, малополезно.

потому как о подготовленности и желании разбираться в вопросеу propeller ничего не известно.

вот если будут конкретные вопросы… это да, там ещё можно ;)

2) а как насчет intrunsion detection?

какое-то время за этим наблюдать интересно. поитом — тихо и молча шлюз выполняет свою работу.

по-крайней мере, это именно так у меня и было, когда я настраивал шлюз. да, логи ведутся, но эти логи — видны только на мониторе, если он подключен к видеокарте на шлюзе.. только её там нету :))

а так.. ну, узнал я, что бывает до 140 радостных попыток windows подарить от всей души букет вирусов. и что?

настроил автоотпраку smb-сообщений «Кажется, у Вас на компьютере вирус. Установите антивирус и проверьте, так ли это. Спасибо.» и.. и всё, даже больше и не заглядываю.

не пропишешь же в iptables вообще все службы!

пропишешь, пропишешь.

# iptables -P INPUT drop
# iptables -P OUTPUT drop
# iptables -P FORWRD drop

и попробуй хоть что-то сделать с таким. правда, и на нём самом ничего особенного не поделаешь, без прописывания дополнительно разрешающих правил…. ;)

3) ну от антивирусов мы отказались, ну а sniffer? (или это относить к пункту (2))

правильно говорит fly4life, связи совершенно никакой нет…

хотя, опять же — от антивируса для самого *nix пользы-то, честно говоря — никакой..

ставить его, разве что, для защиты стоящих за ним windows с их дырками в базовой установке.

а sniffer… это вообще-то неасколько иное. и защищаться от него — либо использованием криптованных соединений (https, ftps, imaps, pop3s,…), либо ставить хорошее сетевое оборудование и грамотно его настраивать.

4) а все ли я учел в выше стоящих пунктах?

гы. ты б лучше задачу, стоящую перед тобой толково объяснил. именно толково.

а уж что и как, по какой документации, глядишь, кто-нибуть что-нибудь да сказал.

хотя, тебе для начала iptables-tutorial с opennet.ru надо прочитать

там ещё дополнительные вопросы возникнут — что такое активный и пассивный режим у ftp, в чем тонкость их настройки и почему при, вроде бы правильно написанных правилах, активный ftp-таки не работает… и т.д.

anonymous

Первым делом прошу простить за то, что писал не там. поискал внутри раздела про юникс и не нашел лучше, чем в чаво.

Желание разбираться у пропеллера большое. хочется вот именно что разобраться, а не сказать «круто, работает! не знаю, почему, но больше мне ничего не надо!» Коль тратить время на это, то не на один же раз! хочется потом уметь сделать самому! а что понимать под подготовленностью?

сразу честно — туториал не дочитал… проблема в том, что защита нужна здесь и сейчас, а времени по нулям (узнаете, что я студент — будете после этого долго смеяться). но я не раз читал ман.

-A xINPUT -p tcp -m state --state NEW ! --syn -j LOG_DROP

>>А хорошо ли рубить все icmp запросы?

-A xINPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 20 -j ACCEPT

>>Почему только 20 порт? Выходит, что вызванные другими приложениями (related) будут идти лишь на 20 порту? а почему нельзя на других портах?

-A INPUT -p tcp -m multiport --dports 20,21,23,6566 -j LOG_DROP

>>а как же мыло???

А насколько хорошо использовать только drop? с хакерами хорошо, а вот с добропорядочными людьми?

Со службами глупость понял. то есть только приемом того, чему верим.

О том, что связи нет между снифферами и антивирусами я понимал. Но дело в другом. Если я не ошибаюсь, они не попадают под то, чт оправится iptables и не попадают под то, что правится IDS. сидят себе у меня на компе и шлют на лишний адрес все мои пакеты. ну а что с ними делать? Грамотно настраивать — вот это расскажите! Да, должен сказать, что у меня только хаб планируется, коль скоро нат встал.

а потом снифферы были лишь примером! если они не подошли под аыпи таблицы и идс, то есть и еще что-то типа снифферов, что тоже ни тут ни там не убьется?

Слышал, что можно эфективно читать логи. Но что с того — время уже потеряно! не читать же их каждые 10 секунд!

fly4life:> Ну, и регулярные backup с патчами сервисов никогда не будут лишними ;)

а вот про это бы побольше! как я понимаю, речь идет об обнаружении дырок в сетевых сервисах, о которых следует быстренько узнать и адекватно отерагировать?

З.Ы. Да, я не мега-супер гуру. Да, мои знания просто местами скудны. но пришел-то я сюда не чтобы хвастаться, а чтобы учиться! так что не удивляйтесь тому, что я иной раз говорю что-то не в кассу. хотя чаще всего это относится к тому, что русский язык со школы забыт.

fly4life
propeller
Желание разбираться у пропеллера большое. хочется вот именно что разобраться, а не сказать «круто, работает! не знаю, почему, но больше мне ничего не надо!» Коль тратить время на это, то не на один же раз! хочется потом уметь сделать самому! а что понимать под подготовленностью?

То, что желание большое — это хорошо ;). А под «подготовленностью» всегда понималась некая база знаний человека. Так сказать, что знает, как знает, где узнал и т.д. в том же духе.

propeller
-A xINPUT -p tcp -m state --state NEW ! --syn -j LOG_DROP

>>А хорошо ли рубить все icmp запросы?

В приведённой строчке описывается правило для протокола tcp. Этим правилом осуществляется действие 'LOG_DROP' для всех новых tcp-пакетов, за исключением пакетов с флагом 'SYN’. Про протокол icmp тут ни слова.

propeller
-A xINPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 20 -j ACCEPT

>>Почему только 20 порт? Выходит, что вызванные другими приложениями (related) будут идти лишь на 20 порту? а почему нельзя на других портах?

не «на» 20-м порту, а «с» 20-го. Т.е. пакеты запрошенные с 20-го порта удалённого сервера будут проходить. Делается это для возможности работы ФТП (точнее, соединения и передачи данных между клиентом и удалённым ФТП-сервером) в активном режиме.

propeller
-A INPUT -p tcp -m multiport --dports 20,21,23,6566 -j LOG_DROP

>>а как же мыло???

Что мыло?

propeller
А насколько хорошо использовать только drop? с хакерами хорошо, а вот с добропорядочными людьми?

Насколько это хорошо — решается политиками безопасности каждой отдельновзятой ситуации.

propeller
О том, что связи нет между снифферами и антивирусами я понимал. Но дело в другом. Если я не ошибаюсь, они не попадают под то, чт оправится iptables и не попадают под то, что правится IDS. сидят себе у меня на компе и шлют на лишний адрес все мои пакеты. ну а что с ними делать? Грамотно настраивать — вот это расскажите!

А iptables’ом и IDS’ом разве что-то «правится»? Или ты хотел сказать «прикрывается»?

Бррр… кто сидит на компе? Куда шлёт? В чём смысл куда-то «слать все твои пакеты"?! В любом случае, при грамотно настроенном файерволле никто лишний и никуда не отошлёт никакие пакеты.

propeller
Да, должен сказать, что у меня только хаб планируется, коль скоро нат встал.

Бррр…. Где связь между НАТом и хабом? Опять-таки непонимание чего-то…

propeller
а потом снифферы были лишь примером! если они не подошли под аыпи таблицы и идс, то есть и еще что-то типа снифферов, что тоже ни тут ни там не убьется?

Слышал, что можно эфективно читать логи. Но что с того — время уже потеряно! не читать же их каждые 10 секунд!

Нда, что такое сниффер ты всё-таки не понимаешь. Почитай чтоли что-нибудь про них.

propeller
fly4life:> Ну, и регулярные backup с патчами сервисов никогда не будут лишними ;)

а вот про это бы побольше! как я понимаю, речь идет об обнаружении дырок в сетевых сервисах, о которых следует быстренько узнать и адекватно отерагировать?

Подробнее про что? Про backup? Так он не зависит от скорости нахождения дырок и их количества. Его просто нужно делать регулярно ;).

Подробнее про патчи? Так это да, желательно «быстренько узнать и адекватно отерагировать». Для этого необходимо регулярно получать обновления от производителя своего дистрибутива (обычно, в самом дистрибутиве имеются для этого специальные утилиты), если это линукс, или же подписаться на списки рассылок по безопасности, если это FreeBSD (кажись, там это так называется).

propeller
З.Ы. Да, я не мега-супер гуру. Да, мои знания просто местами скудны. но пришел-то я сюда не чтобы хвастаться, а чтобы учиться! так что не удивляйтесь тому, что я иной раз говорю что-то не в кассу. хотя чаще всего это относится к тому, что русский язык со школы забыт.

А кто тут «мега-супер гуру"? ;). Все мы ещё учимся… А русский язык ты зря забыл — родную речь знать надо.

anonymous

База знаний — это хорошо, но как ее оценить???

Глупость с icmp полнял — это протокол на уровень выше tcp. Но ведь дело в том, что му его все равно обрубаем! при таком скрипте все icmp запросы к нам на вход убиваются!

извините, перепутал sport и dport.

На почве этого по поводу мыла возникает обратный вопрос. выходит, что для tcp открыты все порты кроме 20,21,23,6566. а не лучше ли наоборот оставить только пару ясных портов?

Как я понял, считается, что достаточно ptables+IDS+logview? тогда расскажите побольше про чтение логов. сдается мне, что они буду быстро забиваться!

По поводу хаба и ната непонимания нет. просто хотел я сделать возможность доступа в инет сразу с нескольких компов — вот и пришлось ставить нат с хабом.

Да, должен извиниться за то, что выложил тут неполный скрипт, написаный Genie, а лишь часть, вызывающуу вопросы. и все равно неясно, почему правил, что у него написаны достаточно для спокойной жизни в сети!

fly4life
propeller
Глупость с icmp полнял — это протокол на уровень выше tcp.

На уровень ниже, propeller, ниже ;)

propeller
Но ведь дело в том, что му его все равно обрубаем! при таком скрипте все icmp запросы к нам на вход убиваются!

Это почему же? Давай пиши сюда смущающее тебя правило из этого скрипта.

propeller
извините, перепутал sport и dport.

бывает…

propeller
На почве этого по поводу мыла возникает обратный вопрос. выходит, что для tcp открыты все порты кроме 20,21,23,6566. а не лучше ли наоборот оставить только пару ясных портов?

Опять же, повоторюсь: всё зависит от конкретной отдельновзятой ситуации. Может лучше, а может и нет. Тебе привели лишь пример. Не стОит брать его за основу всех и всея.

propeller
Как я понял, считается, что достаточно ptables+IDS+logview? тогда расскажите побольше про чтение логов. сдается мне, что они буду быстро забиваться!

Может будут, а может и нет. Но в основном IDS позовляет настроить автоматические реакции на те или иные события (например, блокировать IP адреса, с которых идёт «подозрительный» трафик). Плюс, во многих можно настроить, чтобы в логи записывались лишь самые опасные попытки взлома <font size=«-2»>(не слишком параноидально звучит? ;))</font> и критические ошибки. А таковых не так много. Вобщем, IDS — это целая система. И по каждой конкретной IDS нужно разбираться с настройками и с возможными реакциями на те или иные события.

propeller
По поводу хаба и ната непонимания нет. просто хотел я сделать возможность доступа в инет сразу с нескольких компов — вот и пришлось ставить нат с хабом.

Просто это тогда никакого отношения к вопросу не имеет, и можно было опустить эту подрбность ;).

propeller
Да, должен извиниться за то, что выложил тут неполный скрипт, написаный Genie, а лишь часть, вызывающуу вопросы. и все равно неясно, почему правил, что у него написаны достаточно для спокойной жизни в сети!

Опять же, пусть автор рассказывает, если ему будет не лень да и на работе отстанут (в чём сумневаюсь ;))

fly4life

Кстати, насчёт достаточности iptables’а и IDS — это лишь моё субьективное мнение. Есть ещё много чего, вплоть до систем слежения за целостностью системных файлов (типа, tripwire), которые предназначены для того, чтобы не допустить внедрения в систему вредоносных прогамм (руткитов и прочих бэкдоров).

Genie
На уровень ниже, propeller, ниже ;)

брррр. куда это обоих понесло-то?!

MAC — IP — TCP|UDP|ICMP|BGP|IGP|GGP|… — ftp|http|pop|imap|…

(упрощённо).

хотя, это надо поглядеть точнее, уже не помню :)

Но ведь дело в том, что му его все равно обрубаем! при таком скрипте все icmp запросы к нам на вход убиваются!

охохо. по умолчанию политика в ACCEPT, а не DROP. поэтому оно как раз всё приходит. кстати, должен ещё раз надпомнить — это у меня конфиг на шлюзе. на котором даже ssh не предусмотрено. и вообще, он по сети грузится.

вполне вероятно, что его можно и взломать. (ядро стоит 2.4.18-586tsc, из дистрибутива, даже не обновлённое на предмет дырок последнего года). но так как там ничего для работы с сети нет, сохранять бинарникик — некуда, то и фиг с ними.

а не лучше ли наоборот оставить только пару ясных портов?

а надо?

к примеру, тогда надо самостоятельно и долго, нудно искать, как при этом настраивать RELATED соединения. (по conntrack — особенно). там своих граблей достаточно…

Опять же, пусть автор рассказывает, если ему будет не лень да и на работе отстанут (в чём сумневаюсь ;))

если это будет как вчера…. уу. :(

почему для меня достаточно — ну, потому, что несколько дальше — ещё один НАТ, который и даёт доступ в инет.

да, есть вероятность взлома одного НАТ-прокси. только очень сомневаюсь я, что это будут реаольно делать — gprs не то, где этим можно спокойно заниматься.

а ломать через 2 НАТа… ну, гении они, конечно же, водятся…

fly4life

Немножко в сторону, но поправлю…

Genie
брррр. куда это обоих понесло-то?!

MAC — IP — TCP|UDP|ICMP|BGP|IGP|GGP|… — ftp|http|pop|imap|…

(упрощённо).

хотя, это надо поглядеть точнее, уже не помню :)

Ну, если только уж сильно упрощённо. Правда, тут надо уточнить. Я, когда говорил о ращных уровнях этих протооклов, руководствовался моделью OSI. В ней ICMP — протокол сетевого уровня, TCP — транспортного. А по модели OSI сетевой протокол на ступеньку ниже, чем транспортный.

Genie
Правда, тут надо уточнить. Я, когда говорил о ращных уровнях этих протооклов, руководствовался моделью OSI

а, ну, да, OSI/ISO — это там есть… :)

надо собственный недоделанный перевод документации к AstaroLinux поглядеть

anonymous

tcp/icmp — глупость новичка, не привыкшего, что над кем стоит — то, что выше, или что ниже. хотя скорее всего все-таки вопрос числа отданных на сон часов суток.

вообще, все новые и новые подробности машины Genie просто убивают. Ну если его скрипт написан для машины — шлюза (как я понял, с ней пользователь-то вообще не общается как с десктопом? она существует только для доступа в сеть? и это как раз тот старенький пенек-100, о котором где-то писалось?), то насколько он вообще применим тогда на десктопе?

потом у меня уже не жпрс. и все радости локальной сетки!

так что ломать меня даже гении не нужны!

fly4life

Гм. Так тебе на десктоп хочется взгромоздить файерволл и IDS? Поверь мне, тебе это нафиг не надо. Во-первых, у тебя на десктопе не будет висеть никаких сервисов, присущих серверам, и за которыми необходимо следить (необходимость IDS отсутствует). Т.е., вся твоя защита сведётся к выключению всех лишних сервисов на твоём десктопе. Во-вторых, скрипт iptables, приведённый Genie, предназначен для настройки НАТа (чтобы в интернет могло выходить несколько машин под одним IP адресом). Этой настройке iptables присущи некие ньюансы, но они на десктопной машине не интересны и не нужны.

Вот задумайся, зачем тебе файерволл в виндовсе, а потом прикинь, понадобится ли он в линуксе.

П.С. ну, можешь поставить себе какой-нибудь логгер, типа iplog или scanlogd и смотреть ради интереса, на какие порты и в каком количестве лезет всякая виндовая вирусня (оччень, конечно, увлекательное занятие ;)), а также попытки сканирования твоих портов недоделанными куль хацкерами.

anonymous

Да, видимо я просто уже запарил всех полуверной информацией.

шутка такая — то самый нат, что я сделал с вашей помощью в разделе чаво стоит ровно на этой вот машине, на которой я хочу еще и десктопом пользоваться. Ведь там машина Genie, как я понимаю, даже не имеет монитора и спокойно занимается лишь пропусканием трафика и больше ничем. на моем компе висит dhcpd, httpd. и это начало. просто хочу вешать еще либо ftp, либо самбу (для общения на уровне ресурсов с виндовс-машинами, что-то меня все отговаривают от самбы). Ну и нат она раздает всем тем, кому дала dhcp. смысл был втом, что я на этом компе еще и сам сижу. не висит он за вторым натом. а если по-хорошему, то от локальной сетки даже за первым не висит.

Расскажие, какой бы лучше ids и как лучше пользовать (замечательное слово, правда?) логгеров.

Genie
… шлюза (как я понял, с ней пользователь-то вообще не общается как с десктопом? она существует только для доступа в сеть? и это как раз тот старенький пенек-100, о котором где-то писалось?), то насколько он вообще применим тогда на десктопе?

Да, пользователю с ней и общаться не зачем. работает оно и работает себе сутками…

Да, это именно древний pentium-133@150 :) с 24 Мб RAM, грузящийся с основного моего компа, который dhcp, tftp, dns, ftp, http, mail, sql,… сервер для локалки. а так же и мой десктоп.

локалка домашняя вся насквозь подконтрольна мне. так что — угрозы безопасности в ней у меня нет. ну, разве что, я сам что наделаю по глупости… ;)))

а скрипт применим ровно в той мере, в которой у тебя комп является шлюзом. ;)

делай пока минимум — что нужно защитить — закрой. остальное — разреши.

некоторое время поживёт, посмотришь, может найдёшь чего, что неправильно было сделано (а найдёшь обязательно… может даже носом ткнут)

а сказать однозначно, что тебе сделать надо — никто вроде бы и не скажет ;_ всех условий не знает вроде бы никто, кроме тебя.

некоторые рекомендации:

1) ты ставишь dhcp сервер. сразу задумайся о том, чтобы он не слушал интерфейс, который не должен обслуживать. настраивать раздачу по mac-адресам вроде бы понятно, что это делать надо.

2) ты ставишь dns-сервер. как мастер-сервер для локалки и как кеширующий для запросов о внешних адресах. соответственно, слушать внешний адрес ему не положено. отдавать список зоны внутренней — он не должен всем. только некоторым.

3) по остальнымсервисам вроде бы всё в том же духе. четко рапределяй, где доступ должен быть, а куда — не должен. и тебе даже fw ставить будет не особенно обязательно — порт не открыт — прицепиться некуда.

4) многим сетевым сервисам нет необходимости иметь доступ до всего дерева каталогов и файлов. поэтому те сервисы, которые пукаются от root, а потом себе понижают привелегии, очень желательно запускать в chroot.

пример такого сервиса, который уже на это настраиваются по умолчанию — postgres.

так желательно запускать все сетевые демоны, кроме, разве что, ssh :)

5) всё, что не нужно — работать не должно. и установлено — тоже. и gcc запускать не всем. а только группе c-developer, к примеру.

в общем, рекомендаций таких — большой состав и куча маленьких тележек.

сразу ими заниматься — бесполезно, бессмысленно и, в итоге, не эффективно.

anonymous

Я пока как раз записал себе тот самый Генин скрипт. Надо сказать, первые впечатления такие — буд то бы интернет стал потормознее.

а не очень тормозит этот старый пенек-133 на весь этот мега-набор, да еще и десктоп?

Я себе не стал ставить named. потому у меня адрес dns стоит статически. Но мысль такая была. На самом деле я тоже хочу вот поставить себе мелкий комп типа пень-100 на сервер, а к нему всех подключить как дмз. я просто полагал, что нехорошо использовать такой комп (стоящий файрволлом на выход дмз) для десктопа тоже!

dhcp у меня уже только на одном интерфейсе. так и написал сразу.

chroot — слыхал, но ни разу не использовал.

Да, а как все-таки с ids?

И зачем вам так много всего сразу? ну в частности tftp and ftp?

Genie

Полегче с никами. А то допрылаемся до «Мистера Улётного». Пойдёт Вам такое трактование Вашего ника?

И зачем вам так много всего сразу? ну в частности tftp and ftp?

tftp+dhcp — необходимы для того, чтобы мой шлюз грузился по сети. у него ж винта нет.

всё остальное — ну, это уже просто как полигон для экспериментов.

propeller

О, прошу простить мою неосторожность. Буду поаккуратнее с именами. А я так понял, все — таки из вежливости всех следует все-таки на ты? (между делом — а неплохое трактование, я то долго не думал выбирая себе имя; нельзя же во всех форумах одно и то же имя брать!)

Но если по делу — ты же так и не ответил толком на мой предыдущий вопрос.

1 = не замедляет ли такая конструкция работу сети?

2 = смысл сервера имен лишь в том, что адрес его дается динамически?

3 = что с ids. насколько это надо?

при такой конструкции, как я понимаю, вся опастность уже падает на шлюз. тогда получается, что тут надо посильнее прикрыть, в частности апача. Не проще ли тут поставить апача не на шлюзе, а полгубже — чтобы все запросы к нему шли через еще один нат, который могут поломать, как было сказано, лишь гении?

Genie

1) ощутимое замедление происходит при количестве правил более 100.

2) бррр. сервер имён, как я понимаю, DNS, находится на том же компьютере, что и dhcp-сервер, и у этого компьютера статический адрес.

у шлюза — статический, выдаваемый ему по dhcp (иначе оно грузиться не будет)

поэтому что-то сути вопроса е видно.

3) не знаю. для ответа нужно иметь хоть какой-то опыт. а я этим не занимался пока. :)

propeller

Нет, ну ведь оператором этого жпрс сервер имен дается вовсе не статически!

А что-то про апач ничего не было сказано!

Genie
Нет, ну ведь оператором этого жпрс сервер имен дается вовсе не статически!

долго думал, что же это могло бы означать. так и не понял.

А что-то про апач ничего не было сказано!

а что про него говорить? работает.

даже доступен по ipv6 из интернета.

когда gprs на шлюзе подключён. ;)

если тебе хочется узнать, как и что в нём, апаче, настраивать — то в /usr/share/doc/apache/ довольно много всего имеется. полезного. о настройке.

fly4life
propeller
при такой конструкции, как я понимаю, вся опастность уже падает на шлюз. тогда получается, что тут надо посильнее прикрыть, в частности апача. Не проще ли тут поставить апача не на шлюзе, а полгубже — чтобы все запросы к нему шли через еще один нат, который могут поломать, как было сказано, лишь гении?

Кого поломать? НАТ? А зачем его ломать?

Насчёт апача. Если у тебя будет дырявая его версия, то взломать смогут, за сколькими бы НАТами он не стоял (естесственно, если этот апач виден снаружи). А отсюда и вероятость компрометации машинки, на которм этот апач стоит. Дальше вывод делай сам, есть ли смысл ставить апач «поглубже». Защищать сам апач — никакого, защищать машинку с НАТом — может и есть…

propeller

Ну я тут не рассматривал проблемы именно сервисов. просто если уже есть форточка-дырочка в сервисе, то его просто надо либо ставить посвежее, либо латать патчами. Ну а меня больше инетерсовал вопрос атаки, когда на машине открыт 80 порт. я плохо себе представляю, как эти атаки проходят, что они там делают, и что они там реально сделать могут. система, когда получается пароль рута в резальтате дыры с сервисе, который запускается с правами рута ясна (хотя как именно это делать я не знаю и особо не интересуюсь). ну а как еще можно поломать машину с httpd?

у меня просто как зашито с мозгу — машина с апачем заранее более подвержена атакам, чем те, на которых такового нет.

fly4life
propeller
… Ну а меня больше инетерсовал вопрос атаки, когда на машине открыт 80 порт. я плохо себе представляю, как эти атаки проходят, что они там делают, и что они там реально сделать могут.

……

Атакуется, как раз, висящий на данном порту сервис. При атаке используется узявимость (если таковые существуют) этого сервиса. А уже как именно используется — это дело взломщика (тут я не спец и ничего не скажу…)

propeller
у меня просто как зашито с мозгу — машина с апачем заранее более подвержена атакам, чем те, на которых такового нет.

Наверное, зависит от свежести апача? ;)

Ну, пусть на машине и запущен апач — взломать могут через ФТП сервер, висящий на этой же машине ;)

propeller

Я хотел тут спросить как раз при устновке, что апач и прочие серивисы дырок не имеют. все, считаем, что они стоят на убой и никому ничего лишнего не делают. так же считаем, что никаких глупостей в пхп и перле у самого сайта, которого крутит апач нет.

при таких н.у. есть ли способы взлома? или все взломы делаются именно на дырках в программном обеспечении?

Просто очень может стать, что скоро придется вывесить у себя на внешнем адресе апача.

fly4life
propeller
Я хотел тут спросить как раз при устновке, что апач и прочие серивисы дырок не имеют. все, считаем, что они стоят на убой и никому ничего лишнего не делают. так же считаем, что никаких глупостей в пхп и перле у самого сайта, которого крутит апач нет.

при таких н.у. есть ли способы взлома? или все взломы делаются именно на дырках в программном обеспечении?

Взломать могут из-за дырок в сервисе (это из-за недосмотра/кривизны рук разработчиков). Или же из-за неправильной настройки сервиса (а это уже из-за кривизны рук администратора). Больше причин в голову не лезет.

propeller
Просто очень может стать, что скоро придется вывесить у себя на внешнем адресе апача.

Типа, ты это первый в мире сделаешь ;)

propeller
fly4life
Типа, ты это первый в мире сделаешь ;)

Польщен. потом расскажу, как сделал.

fly4life

Да нет, propeller, это ж я сиронизировал ;)

Я к тому, что апач у многих смотрит во внешнюю сеть. И, вроде как, никто не расстраивается, что их могут взломать. Почему? Да потому что «волков бояться — в лес не ходить». Просто нужно предохр…кхм… следить за рассылками по безопасности интересующих тебя сервисов и адекватно и, главное, вовремя на них [на рассылки] реагировать. А если бояться взломов, то проще компьютер не включать в сеть, или вообще не включать, или даже его не покупать.

Genie

может сперва поставить, посмотреть, кому ты нужен? ;)

в общем, не плоди сущностей сверх должного.

думать о том, что могут сломать то, что ещё даже не поставлено/настроено — всё равно, что спускаться по лестнице с раскрытым парашютом. :D (наверное это на случай, если лестница вдруг так невзначай рухнет..)

propeller

Что до ироний — это, уж извини, я просто вспылил. знаю, что это было не всерьез.