LINUX.ORG.RU
ФорумAdmin

[iptables] Блокирование исходящего траффика — насколько оправдано?


0

1

Приветствую.

Осваиваю премудрости iptables потихоньку. Стало интересно, чем можно объяснить (кроме паранойи конечно), рекомендации некоторых авторов, устанавливать для цепочки OUTPUT таблицы filter правило по умолчанию DROP и последующее разрешение определенных исходящих соединений. Какие типы атак возможны (если возможны конечно) при политике по умолчанию ACCEPT? Будем считать, что имеются 2 варианта:

  • Среднестатистический сервер-шлюз с веб-сервером, ftp-сервером, мускулем-постгресом, почтой и пр.
  • Девелоперский копьютер с тестовыми веб-сервером, базой данных и набором десктопно-девелоперских приложений, но не выполняющий функций шлюза-маршрутизатора.

Хомячковый десктоп с торрентами, браузерами и прочими почтами-асечками мне кажется даже не имеет смысла брать в рассмотрение.

★★★★★

Есть два подхода к дефолтным политикам:

  • Всё запретить и разрешать частности
  • Всё разрешить и запрещать только частности

Вообще второй вариант реакционный, а значит не надёжен.

При открытом OUTPUT проблемы будут для шлюза (спам, например),
ну а для девелоперского тут просто можно будет быть уверенным, что
даже если какая гадость пролезет, то не сможет флудить во вне незаметно

Это всё мои скромные домыслы :)

pimiento ()
Ответ на: комментарий от pimiento

>При открытом OUTPUT проблемы будут для шлюза (спам, например)

Что-то мне не очень понятно откуда именно взяться тому же спаму? Через OUTPUT ведь идет только траффик от программ установленных на компьютере с iptables?

что даже если какая гадость пролезет, то _не_ сможет флудить во вне незаметно


Я так понимаю это в случае когда OUTPUT будет *закрыт*? У тебя по-моему нарушена логическая последовательность в предложении.

fat_angel ★★★★★ ()
Ответ на: комментарий от fat_angel

Читайте внимательнее

проблемы будут для шлюза

Т.е. проблемы будут у провайдера, когда с вашего компа с открытым OUTPUT полезет спам, например.

Смысл в том, что даже если на компе будет прорва разной нечисти, гадить она сможет лишь через открытые порты, которых можно оставить минимум

MahMahoritos ★★★ ()
Ответ на: комментарий от MahMahoritos

а ну ок)))) тут просто с периодичность раз в полгода кто-то задаёт вопрос зачем закрывать порты, которые и так никто не слушает. И ответить ему как правило не могу. Так я думал может «нечесть» таки обьявилась.

GoNaX ★★★ ()
Ответ на: комментарий от MahMahoritos

>Смысл в том, что даже если на компе будет прорва разной нечисти

Если у меня на сервере-воркстейшне заведется живность, то мне уже не до провайдера будет. Вопрос в том способна ли эта живность завестить через открытый OUTPUT? Здравый смысл подсказывает что нет.

fat_angel ★★★★★ ()
Ответ на: комментарий от MahMahoritos

Просто не хочется заморачиваться с закрывание-открыванием OUTPUT'а из-за гипотетической угрозы.

fat_angel ★★★★★ ()
Ответ на: комментарий от fat_angel

На компе бывает много пользователей. Тех же разработчиков web-скриптов неплохо прижать, чтобы, допустим, скрипт не мог отправлять почту напрямую. А то, шлют разную ерунду, а потом ip-адрес попадает black-листы.

mky ★★★★★ ()
Ответ на: комментарий от fat_angel

iptables -A OUTPUT -m owner --uid-owner baduserid -j DROP :)

Rost ★★★★★ ()

> чем можно объяснить

Как правило тем, что эти авторы недавно с винды слезли (90%), либо у них большие проблемы со степенью благонадежности и благоразумности пользователей (10%).

Nastishka ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.