ipchains - jak povolit pristup I

Miroslav BENES mbenes na tenez.cz
Pondělí Červenec 10 12:30:10 CEST 2000 

> doporucuji povolit prijem z 0.0.0.0 1024:65535 a z 0.0.0.0 53 jak tcp tak
> udp oba s flagem -b (bidirectional)

Pomoci portu >= 1024 se neda delat prunik ? V domumentaci doporucuji 
omezovat pakety tcp prichazejici zvenku parametrem "! -y", aby prosly 
pouze data z navazaneho spojeni a aby se odmitlo navazani noveho 
spojeni. Je to ucinne ? Ma to smysl, pouziva se to ?


Zatim jsme povolil mj. toto :

a) pristup na DNS, WWW
vstupni-chain tcp ! -y <DNS_providera> domain
vstupni-chain udp      --sport domain
vstupni-chain tcp ! -y --sport www

b) squid (komunikace s nadrazenym, natazene stranky)
vstupni-chain udp       --sport 3130
vstupni-chain udp       --dport 3130
vstupni-chain tcp ! -y  --sport 3130
vstupni-chain tcp ! -y  --dport 3130
vstupni-chain tcp ! -y --dport www

c) ntp server (komunikace s nadrazenym, trasovani cizich serveru)
vstupni-chain tcp       --dport ntp
vstupni-chain udp       --dport ntp
vstupni-chain udp       --sport ntp

d) maskarada (prevazne podle priladu v dokumentaci) :
prestupni-chain tcp --dport www 
prestupni-chain tcp --dport ssh
prestupni-chain udp --dport 33434:33500
prestupni-chain tcp --dport 1029
prestupni-chain tcp --dport 8000
prestupni-chain icmp --icmp-type ping



> tcp pouzivaji pokud vim DNS servery na tzv ZONE transfer
> Doporucuji pouzivat lsof balicek pro zjistovani toho ktery proces ma
> otevrene ktere porty a
> ktere udp (nejde o scaner ale o lokalni sw)

Dobra rada, diky.


> To jako zaklad .. pokud chcete jeste vyzsi bezpecnost doporucil bych
> analyzovat ktere stroje a z ktereho iface
> muzo kam otevirat connect a podle toho zaradit este filtraci podle ACK flagu
> v packetu...

Myslite jako zevnitr ven ? 



> chyba .... pomoci IE z vnitrni site muze prijit utok ani nevita jak ....

Nemuze :-). Jelikoz IE neumi pracovat nad TCP/IP (ale jen nad vlastni 
M$ implementaci), nemame tu zadny. Na druhou stranu o NN si taky 
nedelam moc velke iluze.

Zatim to chodi zda se dobre (squid, www server i pro svet, maskarada 
pozadavku ze stanic). Jeste me ceka rozjet ftp provoz, posta ...


Vsem diky.


 
--------------------------
Miroslav BENES
E-mail   : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------

Další informace o konferenci Linux