LINUX.ORG.RU
ФорумSecurity

ваши рекомендации по ipchains


0

0

я только рабираюсь с ними (сильно не пинать), вот настроил правила
для инета, не подскажете, что не открыл, что прикрыть следует?
вообще хоть правильно? (policy везде DENY)


#in
/sbin/ipchains -A input -i ppp1 -p TCP --sport domain -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p UDP --sport domain -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p TCP --sport nameserver -d $IPLOCAL -j ACCEPT

/sbin/ipchains -A input -i ppp1 -p TCP --sport www -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p UDP --sport www -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p TCP --sport ftp -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p TCP --sport ftp-data -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p TCP --sport pop3 -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p TCP --sport smtp -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p TCP --sport nntp -d $IPLOCAL -j ACCEPT

/sbin/ipchains -A input -i ppp1 -p udp -s 0/0 -d $IPLOCAL -j ACCEPT

/sbin/ipchains -A input -i ppp1 -p ICMP --icmp-type destination-unreachable -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p ICMP --icmp-type source-quench -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p ICMP --icmp-type time-exceeded -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p ICMP --icmp-type parameter-problem -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p ICMP --icmp-type ping -d $IPLOCAL -j ACCEPT
/sbin/ipchains -A input -i ppp1 -p ICMP --icmp-type pong -d $IPLOCAL -j ACCEPT

#out
/sbin/ipchains -A output -i ppp1 -p TCP -s $IPLOCAL --dport domain -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p UDP -s $IPLOCAL --dport domain -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p TCP -s $IPLOCAL --dport nameserver -j ACCEPT

/sbin/ipchains -A output -i ppp1 -p TCP -s $IPLOCAL --dport www -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p UDP -s $IPLOCAL --dport www -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p TCP -s $IPLOCAL --dport ftp -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p TCP -s $IPLOCAL --dport ftp-data -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p TCP -s $IPLOCAL --dport pop3 -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p TCP -s $IPLOCAL --dport smtp -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p TCP -s $IPLOCAL --dport nntp -j ACCEPT

/sbin/ipchains -A output -p udp -s $IPLOCAL -d 0/0 -j ACCEPT

/sbin/ipchains -A output -i ppp1 -p ICMP --icmp-type destination-unreachable -s $IPLOCAL -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p ICMP --icmp-type source-quench -s $IPLOCAL -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p ICMP --icmp-type time-exceeded -s $IPLOCAL -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p ICMP --icmp-type parameter-problem -s $IPLOCAL -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p ICMP --icmp-type ping -s $IPLOCAL -j ACCEPT
/sbin/ipchains -A output -i ppp1 -p ICMP --icmp-type pong -s $IPLOCAL -j ACCEPT

anonymous

в догонку: как сделать чтобы если-что-то ломанется на закрытый порт это писалось в лог?

anonymous
()

> в догонку: как сделать чтобы если-что-то ломанется на закрытый порт это писалось в лог? ipchains -a ... -l -j DENY Это для логирования. А вообще, лучше портс энтри поставь, или что то типа того... З.Ы. Сильно к твоему файрволу не приглядывался, небыло времени...

Deimos
()

Чего-то ты на вход много пооткрывал... Это для сервера фильтр? Или для персоналки? Если только разбираешся с фильтрами и машина не критичная к доступу мой тебе совет: сначала проскани свою машину ( например nmap -sS -vv потом nmap -sU -vv ), определись, что открыто и что из этого нужно. Потом порубай все болтливые и глупые сервисы ( finger,ы rlogin,ы всякие ) нужное сначала закрой wrappero,м (/etc/inetd.conf), перезапусти inetd kill -HUP "pid inetd", еще раз проскани - проверь не забыл ли чего. Потом я делаю так ( не навязываю тебе - можешь делать по своему ) - политику по умолчанию ставлю - все всем разрешено, а потом по перечню открытых портов все порты закрываю на вход по локальному адресу и по адресу от ISP (возвратные пакеты и так проходить будут), запрещаю на PPP входящие пакеты с установленным SYN, ICMP на широковещательные адреса, все пакеты с поддельными адресами, разрещаю маскарадинг по forward, запрещаю входящие TCP пакеты на 53 порт ( что бы предотвратить перенос DNS зоны ), кстати и DNS надо настроить на недопущение переноса. ( Может чего и забыл ). После этого тестирую созданный фильтр ( ipchains -C input с опциями проверки доступа по портам с разных адресов ), на правила требующие особого контроля ставлю опцию лога ( -l в /var/log/message будет писАть об отклоненных пакетах) ) . Ну, по-моему и все Ж:). Потом выдергиваю шнур питания, сетевой кабель, выключаю модем, прячу системник в шкаф и сплю спокойно... По твоему фильтру нельзя определить - надежный он или нет т. к. неизвестно, какие сервисы открыты и не ясно, какую роль играет в сети защищаемый аппарат. Удачи.

Dodo
()

а от спуффинга не защитился. Закрой доступ для сорсов 127.0.0.1, 192.168.0.0 на ppp интерфейс.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security