ipchains - jak povolit pristup I

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Úterý Červenec 4 10:49:42 CEST 2000


On Tue, 4 Jul 2000, Miroslav BENES wrote:

> Zajimalo by me, nakolik je toto nastaveni "ciste" a bezpecne. Slo by 
> nejak rict "pust veskerou DNS komunikaci ze serveru vyjmenovanych v 
> /etc/resolv.conf" ? Nebo je potreba povolit komunikaci se vsemi DNS 
> servery ? 

Vzhledem k tomu, ze "DNS komunikace" lze v pripade, ze neprovadite
dukladnou inspekci pruchoziho obsahu, jen tezko definovat jinak, nez jako
UDP datagramy z urcitych IP adres se zdrojovym portem 53, pak to asi o moc
lepe neudelate. Ale stejne je lepsi udelat si vlastni forwarder, nez
pouzivat forwarder(y) venku.

> Problem nastane, pokud nainstaluji balicky caching-nameserver + bind 
> a do resolv.conf pridam adresu 127.0.0.1.
> Dokud mam vypnute fw pravidla, chodi cache nameserver dobre, sbira 
> zaznamy a odpovida na dotazy. Kdyz je zapnu, vraci mi lokalni cache 
> DNS pouze "non-authoritative" odpovedi. Jakykoliv novy dotaz neni 
> schopen vyresit. V cem muze byt zakopany pes ?

Viz radu plne na konci.

> # good-if je vstupni interface eth pro vnitrni sit
> ipchains -A good-if -i ! eth1                  -j DENY

Hm?! A to ma jaky smysl (kdyz predpokladam, ze tam nekde je neco na zpusob
ipchains -A input -i eth1 -j good-if)?

> Ale nechodilo to - nenavazalo se ani ssh spojeni, neodpovidal squid,
> nechodily DNS dotazy. Nakonec jsme povolil na vnitrni siti veskery 
> provoz :

Mel jste na patricnych jinych mistech povoleno, aby chodily odpovedi?

> # povoluji vsechno
...
> Je takove nastaveni bezpecne ? Nepredpokladam utok vedeny z vnitrni 
> site, ale asi by to melo byt lip zajistene. Potreboval bych :

To, jake z toho vyplyva riziko, zalezi na tom, co na te brane mate.

> Na fw bezi timeserver, ktery se synchronizuje podle serveru ve svete. 
> Samotna synchronizace slape dobre. Kdyz ale pouziju prikaz ntptrace, 
> dostanu :

Protoze ntptrace to posila z jineho (rozumej nahodile zvoleneho) UDP portu
a tudiz nemuze dostat odpoved. UDP je vubec k vzteku.

> K cemu slouzi porty 33434:33500 ? 

Asi traceroute.

> Kam se ma zaradit pravidlo pro skryte presmerovani www -> proxy ?

Ja mam dojem, ze pravidla pro REDIRECT by mela byt uz ve vstupnim chainu.
(Ruku do ohne za to nedam.)

> Bohuzel to nechodi - prohlizec se marne snazi navazat spojeni. Co je 
> na tom spatne ?

Co ja vim. Kdyz neco nefunguje, tak si ty pravidla vypisujte i s pocty
zachycenych datagramu (ipchains -L -v) a divejte se, kde pribyvaji cisla.

> P.S. Neni nekde podrobny popis ipchains v cestine ?

Asi ne, ale existuji docela dobre kurzy anglictiny. :)

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux