LINUX.ORG.RU

Вопрос по iptables

 , ,


0

1

При вводе iptables -L -v показывает policy ACCEPT 0 packets во всех строках. Если ввести еще раз, то выводится уже policy ACCEPT 342 packets (например). Если я правильно понимаю, до ввода iptables -L -v фаервол не работает, а после ввода - работает? Iptables не настраивал, система - debian 8. И еще - чем грозит отсутствие фаервола на десктопе?


Там пишется кол-во пакетов, прошедших через соответствующую таблицу по политике по умолчанию (в д.с. ACCEPT). По умолчанию iptables сами по себе ничего не режут. Нужно или нет резать — выбор за тобой. Не думаю, что на десктопе это очень актуально, хотя настроить iptables — дело 10 минут.

lu4nik ★★★ ()

Netfilter однозначно работает. Глянул у себя - действительно, до первой команды счетчики нулевые почему-то. Другое дело - ежели таблицы пустые, а политики все ACCEPT, де-факто у тебя файрвола нет. Необходимость на десктопе? Если он используется исключительно как рабочая станция, считай, имеют место только исходящие подключения со случайных портов на традиционные сервисы - dns, почта, http/https и т.п., нет. Ответ параноика/безопасника: обязательно все ограничить/запретить, с расчетом на предстоящие заботы по дописыванию исключений. Будет перестраховка на случай заражения локальной машины (или опасности из ЛВС), хотя и не очень хорошая. Помнится, последний троян-шифровальщик для линукс пользовался не то http, не то ftp портами. А насчет сервисов - даже на десктопных машинках часто крутятся самба, cups, ssh и прочие сервисы, так что теоретически машина таки уязвима для атак извне. Так что пожалуй, разумной настройкой было бы закрыть цепочку INPUT по умолчанию и раздавать исключения.

semenaa ()
Ответ на: комментарий от lu4nik

Мне всегда было интересно. У меня есть eth0 (локалка) и ppp0 (ADSL-интернет в режиме Bridge). Я боюсь что поломают, и вставляю в терминал нагугленные правила iptables, закрывающее все порты и делающие обратную петлю. Так вот! ppp0 становится безопасным, а Samba на eth0 отвалится?

ZenitharChampion ★★★★★ ()
Последнее исправление: ZenitharChampion (всего исправлений: 2)
Ответ на: комментарий от ZenitharChampion

Зависит от того, что за «нагугленные правила». Можно же в правилах указывать конкретные интерфейсы и/или IP адреса, для которых они будут применены. Конечно, если они не указаны, порежется всё (как и заказывалось).

lu4nik ★★★ ()

Поставь firewalld и графическую морду к нему. Если нет каких-то замороченных требований, то его достаточно за глаза. Не, если хочется чего-то такого, то можно и в консоли покрасноглазить. Только смысла особого я в этом не вижу.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.