Поругайте плиз правила.
Какие есть замечания, предложения для увеличения безопасности, упрощения правил.
Почему я могу соединиться по SSH с 192.168.2.51, ведь я разрешила только коннект с 192.168.2.50?????
#!/bin/sh
IPT="/sbin/iptables"
case "$1" in
start)
echo " >>>>>>>> start iptables <<<<<<<< "
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$IPT -F
$IPT -X
clear
$IPT -t mangle -A OUTPUT -j TTL --ttl-set 128
# zapret nobody
$IPT -A OUTPUT -m owner --uid-owner nobody -j DROP
# droping all tcp-packets heving status INVALID,NEW,
# no, not heving flags SYN,ACK
$IPT -A INPUT -p TCP --tcp-flags SYN,ACK SYN,ACK -m state --state INVALID,NEW -j DROP
$IPT -A OUTPUT -p TCP --tcp-flags SYN,ACK SYN,ACK -m state --state INVALID,NEW -j DROP
# prinimaem all tcp packet k yzhe ystanovlennim soedinenijam
$IPT -A INPUT -p TCP --syn -j ACCEPT
$IPT -A OUTPUT -p TCP --syn -j ACCEPT
$IPT -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
# loopback
$IPT -A INPUT -p ALL -i lo -j ACCEPT
$IPT -A OUTPUT -p ALL -o lo -j ACCEPT
# icmp
# razreshaem icmp for local interfaces
$IPT -A INPUT -p ICMP --icmp-type 0 -j ACCEPT
$IPT -A OUTPUT -p ICMP -j ACCEPT
# razreshaem icmp for 192.168.2.50
$IPT -A INPUT -i eth0 -p ICMP -s 192.168.2.50 -j ACCEPT
# ssh server
$IPT -A INPUT -i eth0 -p TCP -s 192.168.2.50 --dport 22 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP --sport 22 -d 192.168.2.50 -j ACCEPT
# dns server
$IPT -A INPUT -i eth0 -p UDP --sport 53 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p UDP --dport 53 -j ACCEPT
# dns client
$IPT -A INPUT -i eth0 -p TCP --sport 53 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP --dport 53 -j ACCEPT
# samba server
$IPT -A INPUT -i eth0 -p TCP -m tcp -s 192.168.2.0/24 --dport 137:139 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP -m tcp --sport 137:139 -d 192.168.2.0/24 -j ACCEPT
# ftp server
$IPT -A INPUT -i eth0 -p TCP --dport 20 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP -m multiport --sports 20,21 -j ACCEPT
# ftp client
$IPT -A INPUT -i eth0 -p TCP -m multiport --sports 20,21 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p TCP --dport 21 -j ACCEPT
$IPT -L -n
;;
stop)
echo " >>>>>>>> stop iptables <<<<<<<< "
echo 0 > /proc/sys/net/ipv4/ip_forward
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -F
$IPT -X
$IPT -L -n
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
esac
exit 0
Последние комментарии
-
OlegL, 17 декабря в 15:00 →
Перекличка
21
-
REDkiy, 8 июня в 9:09 →
Как «замокать» файл для юниттеста в Python?
2
-
fhunter, 29 ноября 2022 года в 2:09 →
Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt?
6
-
Иванн, 9 апреля 2022 года в 8:31 →
Ассоциация РАСПО провела первое учредительное собрание
1
-
Kiri11.ADV1, 7 марта 2021 года в 12:01 →
Логи catalina.out в TomCat 9 в формате JSON
1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
Протоколы строчными буквами указываются…поэтому и по ssh можешь зайти, т.к. правила не работают.
Какой смысл в следующих двух правилах? Запрет 'nobody' улыбает =).
Следующие правила избыточны. У тебя и так политика цепочки «INPUT» выставлена в 'DROP’.
Ну, а этими ты, собственно, разрешила все входящие (это к вопросу, почему получается соединиться с 51-го адреса) =). Практически политика 'ACCEPT' в цепочке. И вообще, этот '--syn’ — пережиток прошлого (привет, ipchains). Так что, как минимум, из INPUT правило убирай.
Да, эти правила на какой станции? На обычной сетевой или на шлюзовой? Если на шлюзовой (хм, а для какой ещё устанавливается ip_forward?), то не вижу правил для цепочки «FORWARD». Транзитный трафик будет блокироваться.
И ещё. Кто-нибудь может мне объяснить практический смысл выставлять «*filter OUTPUT» в 'DROP’?
Значение '-p' подойдёт любое, присутствующее в /etc/protocols. А там в алиасах для tcp может быть значение и в верхнем регистре.
ну чтоб какая нить злая шняга не хулиганила =)
я вот иногда сижу в инете через телефон, ну вот скажем чтоб че нить да не ломилось в интернет — денюшку снимала
Фу, какие нехорошие стереотипы из мира дружественной пользователю ОС ;).
Тебе не кажется, что ты забыл поставить кавычки? ;)
Да как угодно =). Суть стереотипов от этого не меняется ;).
это может быть скажем апт, какой нить лицензионный софт…
в конце концов, что кс в сеть не долбилась! =)
в выходные начну миграцию утконосиков, все уже подготовленно для этой глупости =))
зы. оффтоп мне =)
APT? Самопроизвольно?! Это либо ты чего-то путаешь, либо дебиан таки говно? Да и про «лицензионный» (это, насколько я понял, про лицензионный не по GPL) софт как-то сомнительно звучит.
А зачем тебе КС без сети? =)) Проще не запускать его вообще, чем настраивать пакетную фильтрацию =).
не, при попытке поставить пакеты
софт так это, каторый из под wine пущаеться
дебиан — самый лучший дистриб!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
так говорю, интернет чере сотовый телефон
он и так сам по себе не дешовый
а тут еще и мегабайты!!!!!!!
А если source-лист с репозиториями настроить? ;) В смысле, убрать оттуда интернетовские?
Ладно, допустим, софт пытается сам вылезти в инет.. Совокупность твоих правил в цепочке «OUTPUT» даст ему это сделать.
Если кроме разрешённых тобой ssh, ftp, dns больше ничего не надо, то «$IPT -A OUTPUT -p TCP --syn -j ACCEPT» нужно убрать.
а если этого пакета там нет? ;)
Какого и где?
Эт точно!!! :)
Давай набьём модератору морду? ;)
в репозите
bulbulator.deb =))
у меня только 3 двд, иногда преходиться пакетики скачивать..
держите меня за лапки…
где, где он?
дайте его мачкану
=))
for fly4life
>И вообще, этот '--syn’ — пережиток прошлого (привет, ipchains).
посоветуй тогда как сделать )
Возникло 2 вопроса:
Медленно подключается к фтп серверу, точнее с задержкой, как побороть?
ФТП клиент подсоединяется но не скачивает, как побороть?
остались следущие правила:
А какую роль у тебя должно было играть это правило с '--syn’? (напомню, мне оно вообще показалось лишним)
С твоими правилами к FTP-серверу смогут подключаться клиенты только в активном режиме. Видимо, тот, который не может скачать данные, подсоединяется в пассивном режиме. В общем, поиграйся в настройках FTP-клиента с режимом подключения.
По поводу первого вопроса мыслей нет.
а вот если оутпут в ассепт поставить, то все летает!
Вывод? ;)
органичивать исходящее ssh подключение только на один хост — это уж слишком. Боишься кого-нибудь случайно хакнуть по пьяни? :-D
могу поспорить
не на один, а на все хосты, у меня в оутпуте дроп стоит
самый лучший для меня ;)
ой, я хотел сказать что на все, кроме одного
не, небоюсь я по пьяне,
а делаю чтоб всякий мелкомягкий софт наружу не лез =)
обильно использую вине…
ещеб вмваре поставить
мечтательно
Неправильно ты делаешь. :)
Правильно — не использовать вынь — софт.
вмваре ваще полезная штука. В дженте ставится из портов предельно легко.
игрушки, визио, некоторые клиенты аналогов каторых нет в иксах
что на это скажешь?
да что то немогу поставть заголовки ядра…..
это не ко мне вопрос, дебиан не видел. в генте они ставятся в первую очередь.
В rpm-басед дистрибутивах заголовки находятся в linux-dev и linux-headers пакетах
у меня ядро самосад =)
в чем тогда проблема?
То, что нативных (и по мне — так как и поинтереснее, и поприличнее реализованных) игрушек хватает.
С точки зрения моих задач OODraw && Dia вполне способны заменить Visio.
Касаемо клиентов — прошу представить поимённый список.