Filtrovani paketu
Michal Dobes
dobes na tesnet.cz
Pátek Únor 21 20:02:30 CET 2003
Petr Šobáň wrote:
> /sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j LOG --log-level 6
> /sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j REJECT
Trosku zbytecne, pokud je dal pouzito stavove pravidlo
ESTABLISHED,RELATED tak to pres nej neprojde, pokud nebudete vysilat
pakety se zdroj adresou v 127/8 (coz asi nebudete, protoze to filtrujete
v outputu)?
> /sbin/iptables -A OUTPUT -s $MOJE_IP -j ACCEPT
>
> /sbin/iptables -A OUTPUT -p icmp -j ACCEPT
Neni ten ICMP radek trosku zbytecny? Uz ten predchozi radek to
zahrnuje. Navic tim rikate, ze odchozi ICMP pakety muzou mit
jakoukoliv IP, to uz je rozumnejsi ponechat ten predchozi radek
omezujici jen na Vasi IP.
> # max5 pingu za s
> /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
> --limit-burst 5 -j ACCEPT
>
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT
Nebude se ten limit pro ping anulovat (echo-request=8)?
A limit nebude asi 5/s ale jen 1/s?
> # DNS
> /sbin/iptables -A INPUT -p udp -s $DNS_SERVER --sport 53 -j ACCEPT
Ten Vas stroj ma byt DNS server dostupny z toho $DNS_SERVER nebo je
to jen klient ptajici se do sveta?
V prvem pripade by bylo vhodnjsi misto --sport 53 pouzit --dport 53,
protoze mate povoleny k vam vse prichozi z portu 53 na cokoliv.
V pripade, ze jste jen klient, tak funkcnost DNS dotazu by mela byt
opet pokryta tim ESTABLISHED,RELATED vyse.
> # WWW
> /sbin/iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT
tenhle radek je asi nesmysl? Opet povolujete k sobe spojeni
kamkoliv, pokud zdrojovy port je 80.
> /sbin/iptables -A INPUT -p tcp -d 0/0 --dport 80 -j ACCEPT
OK, zpristupni WWW server bezici u Vas okoli. Kdyz se uz vyskytlo
vyse pouziti stavoveho firewallu, tak by byl elegantnejsi i zde:
/sbin/iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
> # odmitne port 113 auth
> /sbin/iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT
asi take zbytecnost, neprojde opet na ESTABLISHED,RELATED.
> # LOGUJ OSTATNI
> /sbin/iptables -A OUTPUT -j LOG --log-level 6
> /sbin/iptables -A INPUT -j LOG --log-level 6
> /sbin/iptables -A FORWARD -j LOG --log-level 6
Mozna by se sluselo pouzit u toho logovani limitovani, at se
logovaci system nezblazni. :-)
Ale to jsou jen vystrely od boku nez se mi preindexuje neco
v Oracle. :-)
Majkl
Další informace o konferenci Linux