Apories firewall

Alex Chontzopoulos ac at it-cell.com
Thu Sep 1 17:45:04 EEST 2005


Γειά χαρά. Προσωπικά θα σου πρότεινα να κάνεις default πολιτική των chains to DROP. Έτσι θα έχεις ακριβώς πλήρη έλεγχο το τι περνάει-φεύγει στο-από το μηχάνημα σου. Εσύ αυτή την στιγμή κάνεις DENY αυτά που κάνεις και από εκεί και πέρα αφήνεις τα υπόλοιπα να περάσουν..



-----Original Message-----
From: linux-greek-users-bounces at lists.hellug.gr [mailto:linux-greek-users-bounces at lists.hellug.gr] On Behalf Of Antonios Christofides
Sent: Thursday, September 01, 2005 5:37 PM
To: linux-greek-users at lists.hellug.gr
Subject: Apories firewall

Βάζω firewall στο desktop μου και ήθελα να κάνετε ένα review να μου
πείτε αν οι κανόνες που σκέφτηκα σας φαίνονται εντάξει:

:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 127.0.0.0/8 -j ACCEPT
-A input -p icmp -j ACCEPT
-A input -p udp -j ACCEPT
-A input -p ! tcp -j DENY
-A input -p tcp --dport ssh         -j ACCEPT
-A input -p tcp --dport bootpc      -j ACCEPT
-A input -p tcp --dport 0:1023      -j DENY
-A input -p tcp --dport dict        -j DENY
-A input -p tcp --dport postgresql  -j DENY
-A input -p tcp --dport 6000:6007   -j DENY
-A input -p tcp --dport 8080:8081   -j DENY
-A input -p tcp --dport 8086:8086   -j DENY
-A input -p tcp --dport 8088:8091   -j DENY
-A input -p tcp --dport 20012:20012 -j DENY

Το bootpc είναι, απ' ό,τι καταλαβαίνω, για τον dhcp client. (Το βρήκα
με port scan.) Γιατί όμως "ακούει" στο δίκτυο; Μπορεί να θελήσει να
επικοινωνήσει μαζί του ο dhcp server για να του αλλάξει κανένα
setting;

(Τα 8080 ως 8091 είναι κάτι δικά μου. Για το 20012 γράφω άλλο μήνυμα.)

Ποιος είναι ο πιο κλασικός τρόπος στο Debian για να ορίζονται αυτοί οι
κανόνες στο boot; Δηλαδή πού να βάλω το αρχείο και τι να πειράξω στα
init scripts;

Το παραπάνω αρχείο μπορεί να διαβαστεί από το ipchains-restore. Επίσης
μπορούν να μπουν γραμμές-σχόλια που να ξεκινάνε από #. Θα ήθελα όμως
να έχω τη δυνατότητα να γράψω σχόλιο στην ίδια γραμμή με τον κανόνα,
π.χ. κάτι σε
-A input -p tcp --dport 8088:8091   -j DENY  # Remote services tunneled locally
Υπάρχει καμιά τέτοια δυνατότητα έτοιμη;

Όταν μια εφαρμογή client ζητάει από το λειτουργικό ένα tcp port, το
λειτουργικό μπορεί να δώσει οτιδήποτε >=1024 δεν είναι ήδη
κατειλημμένο; Ή μήπως εξαιρεί τα ports που αναφέρονται στο
/etc/services;

Χρειάζεται να περιορίσω την πρόσβαση και στο icmp και το udp;

-- 
Antonios Christofides
+30-2661020814


-- 
linux-greek-users mailing list -- http://lists.hellug.gr






More information about the Linux-greek-users mailing list