Bezpecnost v Linuxu trochu jinak - jednosmerny provoz

David Doubrava David.Doubrava na fcc.cz
Středa Duben 2 17:07:16 CEST 1997


Matus Uhlar wrote:
> 
> In cz.comp.linux Jaroslav Pribyl <pribyl na space.cz> wrote:
> ->    mel bych pro zdejsi linuxove guru takovy "drobny" problemek. Jde mi o
> -> to, ze spolu s nekolika kolegy z nejmenovane vyvojarske firmy se
> -> chystame poridit si spojeni do Site. Vzhledem k tomu, ze zatim
> -> neexistuje moznost dostal do budovy LL, jsme se zatim rozhodli pro VSAT.
> -> Je to sice pomalejsi, ale nam jde v podstate jen o postu a obcas si
> -> sosnout z nejakeho ftp. Casu mama dost, tak si na to muzame chvili
> -> pockat. Jedna se vsak o to, ze sefove firmy si preji, neco jako
> -> jednosmerny provoz, tzn., ze pri pokusu o prunik zvenku treba telnetem
> -> nebo i nejakym heckerem, by se melo ukazat, ze server neexistuje nebo ze
> -> je "dole". Samozrejme, ze MUSI fungovat posta obema smery a taktez musi
> -> byt zachovana moznost uziti www ci ftp od nas do sveta.
> 
> tcp wrappery nepomozu ? dokazu zakazat pouzivanie jednotlivych aj vsetkych
> sluzieb a tvari sa to tak ze spojenie hned spadne... bohuzial nepoznam
> sposob odfiltrovat to pred volanim funkcie accept()
> 
> --
>  E-mail: Matus.Uhlar na tuke.sk WWW: http://ccsun.tuke.sk/users/uhlar
>  IRC: fantomas, TALK: uhlar na ccnews.ke.sanet.sk
>  ...and if you think I'm talking for my employer, you're wrong...

druha varianta je pouzit pri kompilaci jadra ip firewall a pomoci
ipfwadm nastavovat politiku na jednotlive sluzby a stroje, pripadne
sitove rozhrani. U nas je to napr. udelano tak, ze je zakazan pristup
pres vnejsi interface (ppp0) adresam z vnitrku nasi site.
Lze nastavit toto chovani:
	povoleni - accept
	zakaz - deny (vubec neodpovida)
	vyhod? - reject (userovi hlasi: conection refused (pouze TCP))
Pro prichozi pakety, odchozi pakety, forwardovane pakety atd. atd.


	S pozdravem David Doubrava


Další informace o konferenci Linux