Firewall gia server

George Paschos paschos at cosmoline.com
Wed Jun 30 18:03:55 EEST 2004


(..διορθωμένο post..:p )

Γεια σου Αντώνη,

1. Τα 50 rules είναι "αστεία" από πλευράς performance (αρκεί να μην έχεις
κάνα 486 και 100+ mbits traffic να φιλτράρεις)

2. Η ορθή προσέγγιση είναι συνδυασμός και των δύο. Γενικά, φτιάχνεις τους
κανόνες του firewall με το σκεπτικό ότι δεν κάνεις κανένα access control
στον server και φτιάχνεις τον server με το σκεπτικό ότι δεν έχεις την
προστασία του firewall.

Τέλος, αν και μπορείς σχετικά άνετα να παίξεις στον ίδιο τον server, το
καλύτερο που θα μπορούσες να κάνεις είναι να βάλεις κάποιο παλιό μηχάνημα
μπροστά που να είναι dedicated firewall και να αφήσεις τον server όπως
είναι.


Γιώργος

> -----Original Message-----
> From: linux-greek-users-bounces at lists.hellug.gr [mailto:linux-greek-users-
> bounces at lists.hellug.gr] On Behalf Of Antonios Christofides
> Sent: Wednesday, June 30, 2004 3:16 PM
> To: linux-greek-users at lists.hellug.gr
> Subject: Firewall gia server
> 
> Γεια σε όλους,
> 
> έχω ένα Debian server (DNS, mail, web, samba κ.ά) που μέχρι χτες ήταν
> χωρίς firewall, με ένα ALL: ALL στο hosts.deny και μια μεγάλη λίστα από
> το τι επιτρέπεται στο hosts.allow. Επειδή χτες και σήμερα τρώω μια
> επίθεση DoS στον apache, αναγκάστηκα να κόψω τον εισβολέα με firewall.
> Αυτή τη στιγμή έχω ένα προσωρινό setup που έφτιαξα με το firestarter,
> αλλά κοιτάζω τι θα κάνω σε μόνιμη βάση.
> 
> Μια σκέψη ήταν να καταργήσω τα hosts.allow και hosts.deny και αντ' αυτών
> να έχω όλο το access control στο firewall. Έγραψα ένα σκριπτάκι που
> περιέχει τις σχετικές εντολές iptables, και μαζεύονται περίπου 50 rules
> (στο INPUT chain), που πολύ συνοπτικά λένε τα εξής:
>     * Ό,τι έρχεται από lo επιτρέπεται.
>     * Το icmp επιτρέπεται.
>     * Διάφορα services επιτρέπονται από παντού (π.χ. ssh, www) ή από
>       συγκεκριμένα hosts/υποδίκτυα (π.χ. sunrpc, mysql).
>     * Τα ports 1-1500 απαγορεύονται.
>     * Ορισμένα ports >1500 (π.χ. cvs, mysql) απαγορεύονται.
>     * Οτιδήποτε άλλο επιτρέπεται.
> 
> Ερωτήσεις:
> 1) Είναι πολλά 50 rules από πλευράς performance;
> 2) Είναι ορθόδοξος αυτός ο τρόπος access control; Ή είναι καλύτερα να
>    χρησιμοποιήσω το firewall για 2-3 βασικά πραγματάκια (και ποια) και
>    ν' αφήσω τις λοιπές λεπτομέρειες στα hosts.allow/deny;
> 
> 
> --
> linux-greek-users mailing list -- http://lists.hellug.gr





More information about the Linux-greek-users mailing list