ipchains

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Pátek Červen 21 14:56:05 CEST 2002 

Milan Vobecký wrote:
> Mam z brany presmerovane porty 80 a 25 do vnitrni site na jeden stroj, ktery je www a postovnim serverem a zaroven na nem mam zprvozneny squid. Pro ochranu pred utoky hlavne ze vnitrni site jsem si napsal maly skript.
> Problem je v tom, že po jeho spusteni vse funguje,az na to,ze se nelze pripojit Internet Explorerem  pres squid.

	Prvni vec, na kterou bych se zeptal je, proc delate veci, kdyz nevite co 
se stane...?:-)

> #!/bin/bash
> #firewall
> IPC=/sbin/ipchains
> $IPC -F input
> $IPC -F output
> $IPC -F forward
> $IPC -P input DENY

	Jak chcete komunikovat, kdyz zakazete cokoli, co zacina na lokalnim 
stroji a jde jinam (napr. pokud squida vyridit Vas pozadavek)....? 
(videl jste nekde v prikladech nejaky Input -> DENY jako default politiku?)

	Vase pravidla bud neobsahuji:

$IPC -A input ! -y -j ACCEPT -i eth0

	- timto povolujete cokoli, co nezacina jinde, ale na tomto stroji - nema 
SYN flag...- bez toho Vam ne, ze nejede Squid, ale nejede skoro nic... 
(snad vyjma DNS)

	A kdyz uz nevite, udelejte toto (pozor na poradi pravidel, myslim, ze 
vite co mam na mysli):

-P input ACCEPT
-A input -j REJECT -l

	1. DENY je hezky paranoidni a pri 'debugovani' problemu krome cerne diry 
se moc nedozvite (ja zastavam filosofii tu, ze na firewallech pouzivam 
REJECT - at cmuchac vi, ze nemam zajem, z hlediska bezpecnosti 
(prakticke) to povazuji za ekvivalentni - teorii nechme akademikum),
	2. vse ostatni se Vam zaloguje - defaultne nejspise do /var/log/messages, 
zapis je vice nez vymluvny...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux