Apories firewall
Antonios Christofides
anthony at itia.ntua.gr
Thu Sep 1 17:37:16 EEST 2005
Βάζω firewall στο desktop μου και ήθελα να κάνετε ένα review να μου
πείτε αν οι κανόνες που σκέφτηκα σας φαίνονται εντάξει:
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 127.0.0.0/8 -j ACCEPT
-A input -p icmp -j ACCEPT
-A input -p udp -j ACCEPT
-A input -p ! tcp -j DENY
-A input -p tcp --dport ssh -j ACCEPT
-A input -p tcp --dport bootpc -j ACCEPT
-A input -p tcp --dport 0:1023 -j DENY
-A input -p tcp --dport dict -j DENY
-A input -p tcp --dport postgresql -j DENY
-A input -p tcp --dport 6000:6007 -j DENY
-A input -p tcp --dport 8080:8081 -j DENY
-A input -p tcp --dport 8086:8086 -j DENY
-A input -p tcp --dport 8088:8091 -j DENY
-A input -p tcp --dport 20012:20012 -j DENY
Το bootpc είναι, απ' ό,τι καταλαβαίνω, για τον dhcp client. (Το βρήκα
με port scan.) Γιατί όμως "ακούει" στο δίκτυο; Μπορεί να θελήσει να
επικοινωνήσει μαζί του ο dhcp server για να του αλλάξει κανένα
setting;
(Τα 8080 ως 8091 είναι κάτι δικά μου. Για το 20012 γράφω άλλο μήνυμα.)
Ποιος είναι ο πιο κλασικός τρόπος στο Debian για να ορίζονται αυτοί οι
κανόνες στο boot; Δηλαδή πού να βάλω το αρχείο και τι να πειράξω στα
init scripts;
Το παραπάνω αρχείο μπορεί να διαβαστεί από το ipchains-restore. Επίσης
μπορούν να μπουν γραμμές-σχόλια που να ξεκινάνε από #. Θα ήθελα όμως
να έχω τη δυνατότητα να γράψω σχόλιο στην ίδια γραμμή με τον κανόνα,
π.χ. κάτι σε
-A input -p tcp --dport 8088:8091 -j DENY # Remote services tunneled locally
Υπάρχει καμιά τέτοια δυνατότητα έτοιμη;
Όταν μια εφαρμογή client ζητάει από το λειτουργικό ένα tcp port, το
λειτουργικό μπορεί να δώσει οτιδήποτε >=1024 δεν είναι ήδη
κατειλημμένο; Ή μήπως εξαιρεί τα ports που αναφέρονται στο
/etc/services;
Χρειάζεται να περιορίσω την πρόσβαση και στο icmp και το udp;
--
Antonios Christofides
+30-2661020814
More information about the Linux-greek-users
mailing list