Apories firewall

Antonios Christofides anthony at itia.ntua.gr
Thu Sep 1 17:37:16 EEST 2005


Βάζω firewall στο desktop μου και ήθελα να κάνετε ένα review να μου
πείτε αν οι κανόνες που σκέφτηκα σας φαίνονται εντάξει:

:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 127.0.0.0/8 -j ACCEPT
-A input -p icmp -j ACCEPT
-A input -p udp -j ACCEPT
-A input -p ! tcp -j DENY
-A input -p tcp --dport ssh         -j ACCEPT
-A input -p tcp --dport bootpc      -j ACCEPT
-A input -p tcp --dport 0:1023      -j DENY
-A input -p tcp --dport dict        -j DENY
-A input -p tcp --dport postgresql  -j DENY
-A input -p tcp --dport 6000:6007   -j DENY
-A input -p tcp --dport 8080:8081   -j DENY
-A input -p tcp --dport 8086:8086   -j DENY
-A input -p tcp --dport 8088:8091   -j DENY
-A input -p tcp --dport 20012:20012 -j DENY

Το bootpc είναι, απ' ό,τι καταλαβαίνω, για τον dhcp client. (Το βρήκα
με port scan.) Γιατί όμως "ακούει" στο δίκτυο; Μπορεί να θελήσει να
επικοινωνήσει μαζί του ο dhcp server για να του αλλάξει κανένα
setting;

(Τα 8080 ως 8091 είναι κάτι δικά μου. Για το 20012 γράφω άλλο μήνυμα.)

Ποιος είναι ο πιο κλασικός τρόπος στο Debian για να ορίζονται αυτοί οι
κανόνες στο boot; Δηλαδή πού να βάλω το αρχείο και τι να πειράξω στα
init scripts;

Το παραπάνω αρχείο μπορεί να διαβαστεί από το ipchains-restore. Επίσης
μπορούν να μπουν γραμμές-σχόλια που να ξεκινάνε από #. Θα ήθελα όμως
να έχω τη δυνατότητα να γράψω σχόλιο στην ίδια γραμμή με τον κανόνα,
π.χ. κάτι σε
-A input -p tcp --dport 8088:8091   -j DENY  # Remote services tunneled locally
Υπάρχει καμιά τέτοια δυνατότητα έτοιμη;

Όταν μια εφαρμογή client ζητάει από το λειτουργικό ένα tcp port, το
λειτουργικό μπορεί να δώσει οτιδήποτε >=1024 δεν είναι ήδη
κατειλημμένο; Ή μήπως εξαιρεί τα ports που αναφέρονται στο
/etc/services;

Χρειάζεται να περιορίσω την πρόσβαση και στο icmp και το udp;

-- 
Antonios Christofides
+30-2661020814




More information about the Linux-greek-users mailing list