ipchains
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Pátek Červen 21 14:56:05 CEST 2002
Milan Vobecký wrote:
> Mam z brany presmerovane porty 80 a 25 do vnitrni site na jeden stroj, ktery je www a postovnim serverem a zaroven na nem mam zprvozneny squid. Pro ochranu pred utoky hlavne ze vnitrni site jsem si napsal maly skript.
> Problem je v tom, že po jeho spusteni vse funguje,az na to,ze se nelze pripojit Internet Explorerem pres squid.
Prvni vec, na kterou bych se zeptal je, proc delate veci, kdyz nevite co
se stane...?:-)
> #!/bin/bash
> #firewall
> IPC=/sbin/ipchains
> $IPC -F input
> $IPC -F output
> $IPC -F forward
> $IPC -P input DENY
Jak chcete komunikovat, kdyz zakazete cokoli, co zacina na lokalnim
stroji a jde jinam (napr. pokud squida vyridit Vas pozadavek)....?
(videl jste nekde v prikladech nejaky Input -> DENY jako default politiku?)
Vase pravidla bud neobsahuji:
$IPC -A input ! -y -j ACCEPT -i eth0
- timto povolujete cokoli, co nezacina jinde, ale na tomto stroji - nema
SYN flag...- bez toho Vam ne, ze nejede Squid, ale nejede skoro nic...
(snad vyjma DNS)
A kdyz uz nevite, udelejte toto (pozor na poradi pravidel, myslim, ze
vite co mam na mysli):
-P input ACCEPT
-A input -j REJECT -l
1. DENY je hezky paranoidni a pri 'debugovani' problemu krome cerne diry
se moc nedozvite (ja zastavam filosofii tu, ze na firewallech pouzivam
REJECT - at cmuchac vi, ze nemam zajem, z hlediska bezpecnosti
(prakticke) to povazuji za ekvivalentni - teorii nechme akademikum),
2. vse ostatni se Vam zaloguje - defaultne nejspise do /var/log/messages,
zapis je vice nez vymluvny...
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux