Apories firewall

Giorgos Keramidas keramida at ceid.upatras.gr
Thu Sep 1 19:05:29 EEST 2005


On 2005-09-01 17:37, Antonios Christofides <anthony at itia.ntua.gr> wrote:
> Βάζω firewall στο desktop μου και ήθελα να κάνετε ένα review να μου
> πείτε αν οι κανόνες που σκέφτηκα σας φαίνονται εντάξει:
>
> :input ACCEPT
> :forward ACCEPT
> :output ACCEPT
> -A input -s 127.0.0.0/8 -j ACCEPT
> -A input -p icmp -j ACCEPT
> -A input -p udp -j ACCEPT
> -A input -p ! tcp -j DENY
> -A input -p tcp --dport ssh         -j ACCEPT
> -A input -p tcp --dport bootpc      -j ACCEPT
> -A input -p tcp --dport 0:1023      -j DENY
> -A input -p tcp --dport dict        -j DENY
> -A input -p tcp --dport postgresql  -j DENY
> -A input -p tcp --dport 6000:6007   -j DENY
> -A input -p tcp --dport 8080:8081   -j DENY
> -A input -p tcp --dport 8086:8086   -j DENY
> -A input -p tcp --dport 8088:8091   -j DENY
> -A input -p tcp --dport 20012:20012 -j DENY

Οχι.  Υπάρχει κάποιος λόγος που το firewall δεν είναι "inclusive",
απαγορεύοντας την πρόσβαση εξ' ορισμού κι επιτρέποντας μόνο εκείνα τα
ports που θες εσύ να είναι ανοιχτά;

> Το bootpc είναι, απ' ό,τι καταλαβαίνω, για τον dhcp client. (Το βρήκα
> με port scan.) Γιατί όμως "ακούει" στο δίκτυο; Μπορεί να θελήσει να
> επικοινωνήσει μαζί του ο dhcp server για να του αλλάξει κανένα
> setting;

Δε νομίζω ότι χρειάζεται.  Εγώ στο FreeBSD με dhclient και firewall που
είχε βασικά μόνο τους παρακάτω κανόνες στο pf.conf μου, δεν είχα ποτέ
πρόβλημα να πάρω δυναμικά IP address από DHCP servers:

     1	set block-policy return
     2	set require-order yes
     3	set fingerprints "/etc/pf.os"
     4
     5	scrub in all
     6	block in log all
     7
     8	pass in  on lo0 from 127.0.0.1/32 to 127.0.0.1/32
     9	pass out on lo0 from 127.0.0.1/32 to 127.0.0.1/32
    10
    11	pass in  proto icmp from any to any
    12	pass out proto icmp from any to any
    13
    14	# Enabled services
    15	pass in  proto tcp from any to any keep state

> Όταν μια εφαρμογή client ζητάει από το λειτουργικό ένα tcp port, το
> λειτουργικό μπορεί να δώσει οτιδήποτε >=1024 δεν είναι ήδη κατειλημμένο;
> Ή μήπως εξαιρεί τα ports που αναφέρονται στο /etc/services;

Τα ephemeral ports επιλέγονται από το ``local port range'' που ρυθμίζει ο
administrator στο αρχείο ``/proc/sys/net/ipv4/ip_local_port_range''.

> Χρειάζεται να περιορίσω την πρόσβαση και στο icmp και το udp;

Ενα rate/bandwidth-limit στα icmp δεν είναι κακή ιδέα.




More information about the Linux-greek-users mailing list