ipchains - jak povolit pristup I
Miroslav BENES
mbenes na tenez.cz
Pondělí Červenec 10 12:30:10 CEST 2000
> doporucuji povolit prijem z 0.0.0.0 1024:65535 a z 0.0.0.0 53 jak tcp tak
> udp oba s flagem -b (bidirectional)
Pomoci portu >= 1024 se neda delat prunik ? V domumentaci doporucuji
omezovat pakety tcp prichazejici zvenku parametrem "! -y", aby prosly
pouze data z navazaneho spojeni a aby se odmitlo navazani noveho
spojeni. Je to ucinne ? Ma to smysl, pouziva se to ?
Zatim jsme povolil mj. toto :
a) pristup na DNS, WWW
vstupni-chain tcp ! -y <DNS_providera> domain
vstupni-chain udp --sport domain
vstupni-chain tcp ! -y --sport www
b) squid (komunikace s nadrazenym, natazene stranky)
vstupni-chain udp --sport 3130
vstupni-chain udp --dport 3130
vstupni-chain tcp ! -y --sport 3130
vstupni-chain tcp ! -y --dport 3130
vstupni-chain tcp ! -y --dport www
c) ntp server (komunikace s nadrazenym, trasovani cizich serveru)
vstupni-chain tcp --dport ntp
vstupni-chain udp --dport ntp
vstupni-chain udp --sport ntp
d) maskarada (prevazne podle priladu v dokumentaci) :
prestupni-chain tcp --dport www
prestupni-chain tcp --dport ssh
prestupni-chain udp --dport 33434:33500
prestupni-chain tcp --dport 1029
prestupni-chain tcp --dport 8000
prestupni-chain icmp --icmp-type ping
> tcp pouzivaji pokud vim DNS servery na tzv ZONE transfer
> Doporucuji pouzivat lsof balicek pro zjistovani toho ktery proces ma
> otevrene ktere porty a
> ktere udp (nejde o scaner ale o lokalni sw)
Dobra rada, diky.
> To jako zaklad .. pokud chcete jeste vyzsi bezpecnost doporucil bych
> analyzovat ktere stroje a z ktereho iface
> muzo kam otevirat connect a podle toho zaradit este filtraci podle ACK flagu
> v packetu...
Myslite jako zevnitr ven ?
> chyba .... pomoci IE z vnitrni site muze prijit utok ani nevita jak ....
Nemuze :-). Jelikoz IE neumi pracovat nad TCP/IP (ale jen nad vlastni
M$ implementaci), nemame tu zadny. Na druhou stranu o NN si taky
nedelam moc velke iluze.
Zatim to chodi zda se dobre (squid, www server i pro svet, maskarada
pozadavku ze stanic). Jeste me ceka rozjet ftp provoz, posta ...
Vsem diky.
--------------------------
Miroslav BENES
E-mail : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------
Další informace o konferenci Linux