Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   научите IPTABLES (http://forum.oszone.net/showthread.php?t=184231)

exo 30-08-2010 15:15 1484899
научите IPTABLES
 
Добрый день. В наглую так прошу - научите IPTABLES.
Кое-какие понятия имеются, но хочу закрепить в голове. Ибо в последнее время слишком уж много сервером поломано моих...
Значит есть сервер.
Вот имеющиеся настройки IPTABLES.

Цитата:
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:http
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:domain
ACCEPT udp -- anywhere anywhere state NEW,RELATED,ESTABLISHED udp dpt:domain
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
расскажите, пожалуйста, здесь хоть какая-то безопасность есть? я вижу упоминаются почтовые протоколы, веб протоколы, все они ACCEPT.
Что значит policy DROP ?


Спасибо.

Telepuzik 30-08-2010 15:47 1484925
Неплохо было бы посмотреть на сами правила а не на вывод iptables -L
Цитата:
Цитата exo
расскажите, пожалуйста, здесь хоть какая-то безопасность есть? »
Цитата:
Цитата exo
ACCEPT all -- anywhere anywhere »
Разрешает весь входящий трафик.
Цитата:
Цитата exo
Что значит policy DROP ? »
Политика по-умолчанию отбрасывать пакеты не удовлетворяющие не одному правилу.
Начните изучение вот с этого мануала, он хоть и староват но почитать стоит.

Serenikii 02-09-2010 15:41 1487223
В наглую отвечаю, поставь shorewall. В нём можешь окрыться полностью, он всё равно, сам поставит один из самых необходимых правил.

akshara 18-09-2010 01:02 1498228
У меня примерно тоже что и у автора темы(нашел настройку в инете)


modprobe iptable_filter

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p TCP --sport 32768:65535 -j ACCEPT

iptables -A OUTPUT -p UDP --sport 32768:65535 -j ACCEPT

fossil 18-09-2010 09:38 1498344
Лучшее руководство по iptables - http://www.opennet.ru/docs/RUS/iptables/

Serenikii 20-09-2010 17:55 1500012
fossil, Тут есть один ма-а-аленький момент - ман не поможет пониманию процесса и необходимости фильтрации тех или иных пакетов.

hub-lex 22-09-2010 04:54 1501288
http://www.iptables.ru/

Yustus 29-09-2010 12:27 1507221
Для "чайников" советую Webmin - проще разобраться на первых порах.

James Marsh 10-10-2010 19:54 1515823
Для Дебиана юзаю arno-iptables-firewall
Для базовой настройки вроде хватает


Время: 18:03.

Время: 18:03.
© OSzone.net 2001-