Автор Тема: Сетевая Безопасность (Прочитано 10945 раз)

sneg2911 · « **Ответ #45 :** 20.04.2012 10:48:28 »

надо!

Да и если надо... то лучше перевесить со стандартного порта - от зомби ;)
Циферку одну запомнить проблем нет...

можно с этого места поподробней? мне очень интересно

asy · « **Ответ #46 :** 20.04.2012 10:50:55 »

Цитата: sneg2911 от 20.04.2012 10:33:10

цель настроить межсетевой экран на безопасный режим работы станции!

Блин. Делать она что должна ? Какие сервисы на ней запущены ? Она что-то делает, или на ней просто надо работать ? Например, если никаких сервисов не запущено (хотя так не бывает почти), то и от файрвола не холодно и не жарко.

YYY · « **Ответ #47 :** 20.04.2012 10:51:24 »

Цитата: sneg2911 от 20.04.2012 10:48:28

надо!

Вам нужен 22 порт ?
Вы будете своей машиной удаленно управлять по ssh ?

а порт можно поменять в конфиге sshd - если атака не целенаправленная, то зомби не найдя на обычном месте порт пройдут мимо.
Ну а как защитится от целенаправленной атаки ЦРУ/ФСБ/Моссад я вам не подскажу :)

YYY · « **Ответ #48 :** 20.04.2012 10:52:57 »

Цитата: sneg2911 от 20.04.2012 10:48:28

Вы скажите хоть. Вы домашнюю машинку настраиваете или супер-пупер-мега сервер ?

asy · « **Ответ #49 :** 20.04.2012 10:53:34 »

Цитата: sneg2911 от 20.04.2012 10:48:28

надо!

Да и если надо... то лучше перевесить со стандартного порта - от зомби ;)
Циферку одну запомнить проблем нет...

можно с этого места поподробней? мне очень интересно

ssh не обязательно должен быть на 22-ом порту. Но я его не перевешиваю. Вместо этого я импользую

Код: [Выделить]

iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP

sneg2911 · « **Ответ #50 :** 20.04.2012 10:58:27 »

ща я от рута везде DROP поставлю , и пойду спрыгну с балкона!

мне просто как пользователю лазить в сети, слушать музыку, смотреть фильмы , и хочется еще мало мальски научиться настраивать Linux ,и что бы эта система была Адекватно-безопасна для обычного пользователя

YYY · « **Ответ #51 :** 20.04.2012 11:18:31 »

Цитата: sneg2911 от 20.04.2012 10:58:27

мне просто как пользователю лазить в сети

Ну сделайте так
http://forum.altlinux.org/index.php/topic,23381.msg177092.html#msg177092
а потом уже - по факту, спросите что добавить чтоб отвалившееся починить...

asy · « **Ответ #52 :** 20.04.2012 11:19:11 »

Цитата: sneg2911 от 20.04.2012 10:58:27

мне просто как пользователю лазить в сети, слушать музыку, смотреть фильмы , и хочется еще мало мальски научиться настраивать Linux ,и что бы эта система была Адекватно-безопасна для обычного пользователя

Тогда, в первую очередь, следует изучить вывод netstat. Нет смысла закрывать порты, на которых не висят сервисы. icmp я бы тоже не закрывал вообще: там много нужного. Или уж прочитать про icmp всё и закрывать, точно зная, к чему это приведёт.

И, вот видите, у нас с YYY уже есть некоторые разногласия в вопросе. ;)
Индивидуально оно, во многом...

sneg2911 · « **Ответ #53 :** 20.04.2012 11:59:32 »

я уже это давно понимаю про индивидуальность! зато мне проще и быстрее понимается от ваших команд для интерпритатора!спасибо Вам всем!
у меня снова вопрос по последовательности моих действий

Код: [Выделить]

su-
touch /etc/rc.d/rc.firewall
chmod +x /etc/rc.d/rc.firewall

запустил
mcedit /etc/rc.d/rc.firewall
вставил туда целиком
#!/bin/sh

/sbin/iptables -P INPUT DROP
/sbin/iptables -F INPUT

/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT

/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

/sbin/iptables -A INPUT -p udp -m udp --dport 68 --sport 67 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport --dport 1024:65535 --sports 25,110,22,21,79,43,70,119 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport --dport 1024:65535 --sports 80,81,82,83,8001,8080,3128,443 -j ACCEPT ! --syn
не пойму сохранилось или нет?

выключил
chkconfig iptables off

sneg2911 · « **Ответ #54 :** 20.04.2012 12:10:46 »

я наверное туплю не по детски? я чет сам еще не до конца понимаю что происходит,но знаю что мне в эту сторону

asy · « **Ответ #55 :** 20.04.2012 12:15:09 »

Цитата: sneg2911 от 20.04.2012 11:59:32

не пойму сохранилось или нет?

Если из mcedit выйти попробовать, он же предлагает сохранить.
В остальном, если закрыть глаза на смысловую нагрузку в этих правилах, всё правильно. Оно сработает.

sneg2911 · « **Ответ #56 :** 20.04.2012 12:29:11 »

Ага все класс,только авторизатор при этом тухнет

asy · « **Ответ #57 :** 20.04.2012 12:35:26 »

Цитата: sneg2911 от 20.04.2012 12:29:11

Ага все класс,только авторизатор при этом тухнет

Теперь просто надо разобраться, что именно перекрыть, а что не трогать. Что за авторизатор ?

Вот это, кстати, бессмысленно на обычной рабочей станции:

/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

Уберите, чтобы не мешалось.

sneg2911 · « **Ответ #58 :** 20.04.2012 12:44:53 »

изменил,готово!
А как проверить работу этого девайса? Или просмотреть

sneg2911 · « **Ответ #59 :** 20.04.2012 12:48:25 »

авторизатор запустился! Как проверить работу этих настроек

iptables -L

но не пойму поменялось ли что-то?

Код: [Выделить]

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc 
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain dpts:1024:65535 
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:domain dpts:1024:65353 flags:!FIN,SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:1024:65535 flags:!FIN,SYN,RST,ACK/SYN multiport sports smtp,pop3,ssh,ftp,finger,nicname,gopher,nntp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:1024:65535 flags:!FIN,SYN,RST,ACK/SYN multiport sports http,81,82,83,8001,webcache,squid,https 
DROP       all  -f  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  -f  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
DROP       all  -f  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Форум сообщества
Альт Линукс