firewall a filtrovanie incomingu
Peter Ronai
linux na highlander.my-scotland.sk
Pondělí Duben 3 20:19:00 CEST 2000
> zdravim,
>
> chcel by som na masinu pustit iba par portov, povedzme 25, 110, 80,
> proste standard bata. ale podla vypisu tcpdump mi napriklad named
> kominukuje aj na inych portoch ako 53 tcp a udp, takisto napriklad
> packed z icq ide z masiny z portu 4000, ale na cez moju masinu chce ist
> cez port 34245. takisto odozva na www request z mojej masiny ide na port
> uplne iny ako 80 a pod.
no porty ktore sa tam objavuju su spatne porty
jednym smerom je socket na standardne vyhradeny port a druhym smerom je
spojenie robene cez "spatne porty"
ono ak sa tieto zakazu tak komunikacia bezi len jednym smerom cize nie je
mozne robit obojsmernu komunikaciu co vlastne znemoznuje akekolvek tcp
spojenie
port range sa pre tieto nastavuje v /proc/sys/net/ipv4/ip_local_port_range
napriklad cez
echo "16000 25000" > /proc/sys/net/ipv4/ip_local_port_range
kde 16000 je najnizsi a 25000 najvyssi port
(je potom dolezite osetrit forwarding tychto portov pre win stanice ktore
nie su vzdy ochotne suhlasit s nastavenim na routeri/firewalle)
potom sa povolia spatne porty a nejake zakladne sluzby plus priechodnost
povolenych sluzieb zvnutra siete a zbytok sa zakaze
najlepsie je zvolit na inpute policy REJECT a po riadkoch akceptovat to co
sa povoluje
(man ipchains)
dzony
Další informace o konferenci Linux