Сетевая Безопасность

[ksa]

...

Код: [Выделить]

#!/bin/sh

/sbin/iptables -P INPUT DROP
/sbin/iptables -F INPUT

/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT

/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

/sbin/iptables -A INPUT -p udp -m udp --dport 68 --sport 67 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  25,110,22,21,79,43,70,119 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  80,81,82,83,8001,8080,3128,443 -j ACCEPT ! --syn
...

Достаточно будет такого варианта:

Код: [Выделить]

/sbin/iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT ! --syn

[sneg2911]

совсем запутали! я так понимаю  сначала
su-
touch /etc/rc.d/rc.firewall
chmod +x /etc/rc.d/rc.firewall
mcedit /etc/rc.d/rc.firewall
ну и туда эту фигню, далее  :)
#!/bin/sh

/sbin/iptables -P INPUT DROP
/sbin/iptables -F INPUT

/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT

/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

/sbin/iptables -A INPUT -p udp -m udp --dport 68 --sport 67 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  25,110,22,21,79,43,70,119 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  80,81,82,83,8001,8080,3128,443 -j ACCEPT ! --syn
и наполнить по желанию

или вместо всего вот этого названного фигней достаточно будет
/sbin/iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT ! --syn

?

или лучше всего после того что сам нашел (http://blog.911.in.ua/2011/08/iptables.html) сказать service iptables save

[asy]

совсем запутали!

Распутаться придётся самостоятельно.

я так понимаю  сначала
su-
touch /etc/rc.d/rc.firewall
chmod +x /etc/rc.d/rc.firewall
mcedit /etc/rc.d/rc.firewall
ну и туда эту фигню, далее  :)
#!/bin/sh

"далее" не надо, а "#!/bin/sh", вообще, к содержимому скрипта относится. Если все правила записать в rc.firewall, дальше можно просто этот скрипт запустить, и всё. Всё "далее" будет сделано скриптом  rc.firewall.

или лучше всего после того ... сказать service iptables save

Это - другой способ. Вместо rc.firewall. Более того, если решите использовать rc.firewall, надо отключить запуск сервиса iptables при старте, если, вдруг, он включен: chkconfig iptables off

А, ещё, мне не очень нравится подход "написать что-нибудь". Всё, что тут было описано, Вам может быть не нужно; возможно, Вам нужны другие правила. Бездумно наковырять правил из сети не выйдет. Или выйдет, но какая-то ерунда получится. И, если, скажем, я расскажу, что именно надо написать, чтобы "было клёво", это будет только лишь моё видение того, как оно, это "клёво".

[ksa]

Имелось ввиду, что вместо строчек:

Код: [Выделить]

/sbin/iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT ! --syn
будет достаточно прописать:

Код: [Выделить]

/sbin/iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT ! --syn
Все остальные правила остаются в силе, конечно!
Не совсем четко выразился, пардон  :)

[sneg2911]

контрольный в голову

Код: [Выделить]

su-

chkconfig iptables off

touch /etc/rc.d/rc.firewall
chmod +x /etc/rc.d/rc.firewall

mcedit /etc/rc.d/rc.firewall
Содержание скрипта:

Код: [Выделить]

!/bin/sh

/sbin/iptables -P INPUT DROP
/sbin/iptables -F INPUT

/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT

/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

/sbin/iptables -A INPUT -p udp -m udp --dport 68 --sport 67 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  25,110,22,21,79,43,70,119 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  80,81,82,83,8001,8080,3128,443 -j ACCEPT ! --syn
и все это дело закрепить

Код: [Выделить]

service iptables save
хотя наверное после команды  :

Код: [Выделить]

mcedit /etc/rc.d/rc.firewall

Код: [Выделить]

service iptables saveбудет лишним?

теперь правильно? если чет не то подкорректируйте пожалуйста

[sneg2911]

А как вам такой исход событий?

Код: [Выделить]

iptables -P INPUT DROP
 iptables -P OUTPUT DROP
 iptables -P FORWARD DROP

Код: [Выделить]

iptables -A INPUT -i lo -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT

Код: [Выделить]

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

Код: [Выделить]

iptables -A OUTPUT -p TCP --sport 32768:61000 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 32768:61000 -j ACCEPT

Код: [Выделить]

iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

Код: [Выделить]

iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT

Код: [Выделить]

service iptables save
ничего не упустил?

[asy]

Содержание скрипта:

Код: [Выделить]

!/bin/sh

тут должно быть так: #!/bin/sh
"#" означает начало комментария, но не в этом месте. После "#!" записывается путь к интерпретатору, который всё это будет исполнять. /bin/sh, в данном случае.

Код: [Выделить]

service iptables saveбудет лишним?

Верно. service iptables не нужен, если не используется.

А как вам такой исход событий?

А какова цель ? Чем должен заниматься хост, какие сервисы на нём и т.п. ? Почему только эти типы ICMP-запросов разрешены ? Чем, например, провинился тип 3 ? Почему выбран диапазон портов 32768:61000 ?

[YYY]

> А как вам такой исход событий?

Фигня какая-то....
И выставлять 22 порт в интернет... Тут ни о какой "Сетевая Безопасность" и речи нет...

[sneg2911]

скажите пожалуйста:
в этом месте  mcedit /etc/rc.d/rc.firewall  у меня получится сохранить #!/bin/sh ?

[sneg2911]

А как вам такой исход событий?

Код: [Выделить]

iptables -P INPUT DROP
 iptables -P OUTPUT DROP
 iptables -P FORWARD ACCEPT

Код: [Выделить]

iptables -A INPUT -i lo -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT

Код: [Выделить]

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

Код: [Выделить]

iptables -A OUTPUT -p TCP --sport 32768:61000 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 32768:61000 -j ACCEPT

Код: [Выделить]

iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

Код: [Выделить]

service iptables save
ничего не упустил?

так сильно улучшит положение?

[asy]

> А как вам такой исход событий?

Фигня какая-то....
И выставлять 22 порт в интернет... Тут ни о какой "Сетевая Безопасность" и речи нет...

Почему ? А если надо ? Авторизация по ключу уже даёт эффект. У меня вот открыт, правда, с ограничением на количество попыток подряд.

[asy]

так сильно улучшит положение?

ВСё же, какова конечная цель ? Что должен делать хост, для которого это настраивается ?

[sneg2911]

цель настроить межсетевой экран на безопасный режим работы станции!

[sneg2911]

контрольный в голову

Код: [Выделить]

su-

chkconfig iptables off

touch /etc/rc.d/rc.firewall
chmod +x /etc/rc.d/rc.firewall

mcedit /etc/rc.d/rc.firewall
Содержание скрипта:

Код: [Выделить]

#!/bin/sh

/sbin/iptables -P INPUT DROP
/sbin/iptables -F INPUT

/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT

/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

/sbin/iptables -A INPUT -p udp -m udp --dport 68 --sport 67 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  25,110,22,21,79,43,70,119 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport  --dport 1024:65535 --sports  80,81,82,83,8001,8080,3128,443 -j ACCEPT ! --syn

подкорректируйте пожалуйста

скажите пожалуйста:
в этом месте  mcedit /etc/rc.d/rc.firewall  у меня получится сохранить #!/bin/sh ?

[YYY]

И выставлять 22 порт в интернет... Тут ни о какой "Сетевая Безопасность" и речи нет...

Почему ? А если надо ? ... У меня вот открыт

А оно ТСу надо ? А если нет, то зачем светить ?
Даже больше - зачем вообще лишние демоны запущенными держать ?
Выключить их и компутер загружается быстрее и безопасно :)
Тот-же постфикс пока стартанет... а нужен ли он дома ?
Да и если надо... то лучше перевесить со стандартного порта - от зомби ;)
Циферку одну запомнить проблем нет...