ipchains - jak povolit pristup I
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Úterý Červenec 4 10:49:42 CEST 2000
On Tue, 4 Jul 2000, Miroslav BENES wrote:
> Zajimalo by me, nakolik je toto nastaveni "ciste" a bezpecne. Slo by
> nejak rict "pust veskerou DNS komunikaci ze serveru vyjmenovanych v
> /etc/resolv.conf" ? Nebo je potreba povolit komunikaci se vsemi DNS
> servery ?
Vzhledem k tomu, ze "DNS komunikace" lze v pripade, ze neprovadite
dukladnou inspekci pruchoziho obsahu, jen tezko definovat jinak, nez jako
UDP datagramy z urcitych IP adres se zdrojovym portem 53, pak to asi o moc
lepe neudelate. Ale stejne je lepsi udelat si vlastni forwarder, nez
pouzivat forwarder(y) venku.
> Problem nastane, pokud nainstaluji balicky caching-nameserver + bind
> a do resolv.conf pridam adresu 127.0.0.1.
> Dokud mam vypnute fw pravidla, chodi cache nameserver dobre, sbira
> zaznamy a odpovida na dotazy. Kdyz je zapnu, vraci mi lokalni cache
> DNS pouze "non-authoritative" odpovedi. Jakykoliv novy dotaz neni
> schopen vyresit. V cem muze byt zakopany pes ?
Viz radu plne na konci.
> # good-if je vstupni interface eth pro vnitrni sit
> ipchains -A good-if -i ! eth1 -j DENY
Hm?! A to ma jaky smysl (kdyz predpokladam, ze tam nekde je neco na zpusob
ipchains -A input -i eth1 -j good-if)?
> Ale nechodilo to - nenavazalo se ani ssh spojeni, neodpovidal squid,
> nechodily DNS dotazy. Nakonec jsme povolil na vnitrni siti veskery
> provoz :
Mel jste na patricnych jinych mistech povoleno, aby chodily odpovedi?
> # povoluji vsechno
...
> Je takove nastaveni bezpecne ? Nepredpokladam utok vedeny z vnitrni
> site, ale asi by to melo byt lip zajistene. Potreboval bych :
To, jake z toho vyplyva riziko, zalezi na tom, co na te brane mate.
> Na fw bezi timeserver, ktery se synchronizuje podle serveru ve svete.
> Samotna synchronizace slape dobre. Kdyz ale pouziju prikaz ntptrace,
> dostanu :
Protoze ntptrace to posila z jineho (rozumej nahodile zvoleneho) UDP portu
a tudiz nemuze dostat odpoved. UDP je vubec k vzteku.
> K cemu slouzi porty 33434:33500 ?
Asi traceroute.
> Kam se ma zaradit pravidlo pro skryte presmerovani www -> proxy ?
Ja mam dojem, ze pravidla pro REDIRECT by mela byt uz ve vstupnim chainu.
(Ruku do ohne za to nedam.)
> Bohuzel to nechodi - prohlizec se marne snazi navazat spojeni. Co je
> na tom spatne ?
Co ja vim. Kdyz neco nefunguje, tak si ty pravidla vypisujte i s pocty
zachycenych datagramu (ipchains -L -v) a divejte se, kde pribyvaji cisla.
> P.S. Neni nekde podrobny popis ipchains v cestine ?
Asi ne, ale existuji docela dobre kurzy anglictiny. :)
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux