Автор Тема: Сетевая Безопасность (Прочитано 10937 раз)

Skull · « **Ответ #15 :** 18.04.2012 12:27:49 »

Цитата: sneg2911 от 18.04.2012 11:06:06

если они одинаковые , почему тогда не работает команда
Код: [Выделить]
sudo ufw enable
в Убунте пашет ,а в альте нет??значит разные ? или как понимать?

потому что в ALT Linux нет ufw. Есть efw. Параметр enable там отсутствует.
Кроме того, по соображениям безопасности, sudo не настроен на запуск любых приложений сразу после установки.

sneg2911 · « **Ответ #16 :** 18.04.2012 12:31:19 »

Цитата: YYY от 17.04.2012 18:23:03

сделайте исполнимый файл
/etc/rc.d/rc.firewall
и все будет красиво

подскажите пожалуйста как исполняемый файл сделать

sneg2911 · « **Ответ #17 :** 18.04.2012 12:37:34 »

Цитата: Skull от 18.04.2012 12:27:49

Цитата: sneg2911 от 18.04.2012 11:06:06
если они одинаковые , почему тогда не работает команда
Код: [Выделить]
sudo ufw enable
в Убунте пашет ,а в альте нет??значит разные ? или как понимать?
потому что в ALT Linux нет ufw. Есть efw. Параметр enable там отсутствует.
Кроме того, по соображениям безопасности, sudo не настроен на запуск любых приложений сразу после установки.

Теперь многое понятно
а про iptable в сети смотрел и почему-то везде все по разному! можно как-то внести ясность?

Table filter
по умалчанию сильно дыряво?

asy · « **Ответ #18 :** 18.04.2012 12:41:42 »

Цитата: sneg2911 от 18.04.2012 12:31:19

Цитата: YYY от 17.04.2012 18:23:03
сделайте исполнимый файл
/etc/rc.d/rc.firewall
и все будет красиво
подскажите пожалуйста как исполняемый файл

"исполняемый файл" что ? Сделать ?

Код: [Выделить]

touch /etc/rc.d/rc.firewall
chmod +x /etc/rc.d/rc.firewall

Но писать там тоже iptables <bla-bla>. Зато одинаково везеде.

Цитата: sneg2911 от 18.04.2012 12:37:34

а про iptable в сети смотрел и почему-то везде все по разному! можно как-то внести ясность?

В ядре есть netfilter/iptables (по-разному называют). Есть утилита iptables, которая служит для настройки netfilter (и только). И есть куча разных фреймворков для облегчения пользования утилитой iptables, в том числе ufw, efw, init-скрипт с одноимённым названием iptables, есть свои правила в etcnet и т.п.

sneg2911 · « **Ответ #19 :** 18.04.2012 12:54:22 »

скажите пожалуйста а где тогда можно найти актуальные команды по настройке Iptables

и к чему эти команды?

Код: [Выделить]

touch /etc/rc.d/rc.firewall
chmod +x /etc/rc.d/rc.firewall

asy · « **Ответ #20 :** 18.04.2012 13:12:37 »

Цитата: sneg2911 от 18.04.2012 12:54:22

скажите пожалуйста а где тогда можно найти актуальные команды по настройке Iptables

в общем случае http://www.netfilter.org/

Цитата: sneg2911 от 18.04.2012 12:54:22

и к чему эти команды?
Код: [Выделить]
touch /etc/rc.d/rc.firewall chmod +x /etc/rc.d/rc.firewall

Вы спросили, я ответил, как понял. К чему - не знаю. Но, при старте системы, делается попытка вызвать /etc/rc.d/rc.firewall, если он существует. В принципе, там может быть написано, что угодно, а название предполагает, что там будут вызовы утилиты iptables с соответствующими параметрами. Но это оставлено, скорее, для совместимости. Или Вы не знаете, что делают команды touch и chmod ?

В ALT Linux, на самом деле, предполагается использование etcnet для описания правил:
http://www.altlinux.org/Etcnet/firewall

sneg2911 · « **Ответ #21 :** 18.04.2012 13:47:01 »

Перейти к: навигация, поиск

touch — команда Unix, предназначенная для установки времени последнего изменения файла или доступа в текущее время. Также используется для создания пустых файлов.
chmod (от англ. change mode) — программа для изменения прав доступа к файлам и директориям. Название происходит от программы ОС Unix chmod, которая, собственно, изменяет права доступа к файлам, директориям и символическим ссылкам.

я понимаю что нужен свой скрипт! который сохранится в пустой файл к которому изменятся права доступа к файлам и дерикториям!

а более простым вариантом настроить никак? например как обновить систему,лично мне очень понравилось! быстро доступно,и все понятно

sneg2911 · « **Ответ #22 :** 18.04.2012 15:53:28 »

http://blog.911.in.ua/2011/08/iptables.html

Вот это пояснение так пояснение :) пользуйтесь кому надо
всем спасибо за внимание и отсутствие желания помочь

asy · « **Ответ #23 :** 18.04.2012 16:37:14 »

Цитата: sneg2911 от 18.04.2012 15:53:28

Вот это пояснение так пояснение :) пользуйтесь кому надо
всем спасибо за внимание и отсутствие желания помочь

Надо уметь задать вопрос. :)
Вы же не сказали, что Вас устроит набор правил для iptables, а остальных вариантов слишком много. Да и описаний, в таком виде, в сети не мало, по фразам, приведённым в обсуждении, находятся на раз.

Кстати, в статье, в некотором роде, показан принцип, но если применить правила, как есть, работать это не будет. "iptables -P OUTPUT DROP" предполагает наличие разрешающих правил для OUTPUT, но их нет.

sneg2911 · « **Ответ #24 :** 18.04.2012 16:57:55 »

INPUT - DROP
FORWARD - ACCEPT
OUTPUT - ACCEPT
вот такое правило надо сделать,а точнее просто INPUT исправить и сохранить

sneg2911 · « **Ответ #25 :** 18.04.2012 18:34:34 »

Код: [Выделить]

[root@mother-fucker ~]# service iptables start
iptables firewall is not configured                                                      [                  ]

нужен самый простой способ настройки конфигурации!

asy · « **Ответ #26 :** 18.04.2012 18:40:04 »

Код: [Выделить]

[root@mother-fucker ~]# service iptables start
iptables firewall is not configured

Сначала надо service iptables save, чтобы в /etc/sysconfig/iptables хоть что-то появилось. Это не совсем честный сервис. По факту, по команде start тут просто применяются правила, записанные в sysconfig/iptables.

sneg2911 · « **Ответ #27 :** 18.04.2012 19:35:14 »

но я так понимаю чтобы service iptables save надо же сначала что-то сконфигурировать!? я просто не знаю как это сделать вот уже весь день в сети ищу конкретные настройки но так их пока и не обнаружил....,man iptables тоже почитал,чуть раньше опций вырубило у монитора ))
вернее нашел iptables-rus.tar.gz но почему-то думаю что все может произойти не так как хотелось бы

asy · « **Ответ #28 :** 18.04.2012 20:13:50 »

Цитата: sneg2911 от 18.04.2012 19:35:14

но я так понимаю чтобы service iptables save надо же сначала что-то сконфигурировать!?

Если цель - получить что-то нужное, то да.

Цитата: sneg2911 от 18.04.2012 19:35:14

я просто не знаю как это сделать вот уже весь день в сети ищу конкретные настройки

Блин, сами же нашли http://blog.911.in.ua/2011/08/iptables.html !
Вот если после всего этого сказать service iptables save, оно и запишется.
А более конкретные настройки зависят от того, что, конкретно, надо.

То есть, service iptables save сохраняет текущую конфигурацию netfilter ядра.

YYY · « **Ответ #29 :** 18.04.2012 21:01:49 »

Цитата: sneg2911 от 18.04.2012 19:35:14

я просто не знаю как это сделать

Ну вот самое простое

Код: [Выделить]

#!/bin/sh

/sbin/iptables -P INPUT DROP
/sbin/iptables -F INPUT

/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT

/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

/sbin/iptables -A INPUT -p udp -m udp --dport 68 --sport 67 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT ! --syn 
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  25,110,22,21,79,43,70,119 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  80,81,82,83,8001,8080,3128,443 -j ACCEPT ! --syn

А дальше нарастите по желанию...

т.е. как вам уже говорили
su-
touch /etc/rc.d/rc.firewall
chmod +x /etc/rc.d/rc.firewall
mcedit /etc/rc.d/rc.firewall
ну и туда эту фигню, далее :)

Форум сообщества
Альт Линукс