LINUX.ORG.RU

Ответ на: комментарий от KOPEHb

а что именно тебе надо??? открой 80, 21 и еще ssl (https) не помню правда порта. этого должно хватить. ну еще и аська-емуле и прочие фишки.

gr_buza ★★★★
()

Если чисто десктоповская мащина
Отключи все сервера и демоны
Закрой все привелигерованные порты 1023 и ниже (У тебя не должно быть веб-сервера фтпсервера и тд)
открой выше 1024 до 64 000 (с чем-то) только для исходящих (для браузеров и тд)
во всех входящих пропускай только те пакеты которые имеют АСК
Отбрасывай все ICMP пакеты

anonymous
()

Твои правила цепочек iptables будут зависеть и от того, каким образом ты подключаешся к инету. Если, например, как я, т.е. через логин на страничке своего провайдера, то запрет icmp приведёт к тому, что каждую минуту твои коннекты будут рваться по таймауту icmp запроса от прова.

А вообще, я б на твоём месте не открывал никаких портов вообще, и от идеи использования графической конфигурялки iptables (видимо рэдхэтовской) отказался бы. Там правила говённые, trust me. Твои проблемы решаются установкой политики цепочек INPUT и FORWARD по умолчанию DENY, где для INPUT задаётся правило iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT. Такая политика гораздо безопаснее, и для брожения по инету, почты, аськи никаких неудобств не вызовет. Правда это не касается файлообменных прог. Они работать не будут.

И позаботься про загрузку этих правил при старте компа.

А ещё лучше для тебя будет почитать Iptables Tutorial, русский перевод которого есть в сети, и где всё,имхо, очень доходчиво описано.

Кроме того, люди выше уже высказались по теме портов, и если ты параноик, можешь закрыть все указанные порты дополнительно, можешь фильтровать по мак-адресу сетевухи прова и т.п.

bsh ★★★
()

Только не додумайся закрыть все пакеты по loopback-интерфейсу заблокировать - иксы не запустишь.

snigga ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.