id: Гость   вход   регистрация
текущее время 00:54 29/02/2020
Автор темы: Geidrow, тема открыта 26/07/2011 07:12 Печать
Категории: инфобезопасность, защита сети
https://www.pgpru.com/Форум/UnixLike/КонфигурированиеIptables
создать
просмотр
ссылки

Конфигурирование iptables

Доброго времени суток всем!
Уважаемый SATtva с год назад в рамках обсуждения настройки брандмауэра сказал, что виндовый способ мышления меня когда-нибудь погубит. Надеюсь, мне удалось изменить его (теперь ОС, загружающаяся по умолчанию, Debian) :)
После прочтения статей Oskar'а Andreasson'а в переводе Андрея Киселева, а также материалов (не всех ещё) с официального сайта iptables, некоторых других составил набор правил. Но, отдавая себе отчёт в том, что всевозможных тонкостей значительно больше, чем мне известно, хотел бы просить у профессионалов оценить степень защиты, даваемую нижеприведенными настройками для персонального компьютера, указать какие ещё правила для повышения защищённости можно добавить.
Например, так ли уж нужно использование помимо udp ещё и tcp протокола для связи с dns сервером в случае с персональнм компьютером?


Спасибо



 
На страницу: 1, 2 След.
Комментарии
— Гость (27/09/2011 21:21)   <#>
Для посылки ицмп нужно открыть сырой сокет, открытие сырого сокета требует привелегий. В классическом варианте это достигается через суидный бинарник: создали сокет и сбросили привелегии, а дальше пишем и читаем оттуда любым анонимом. Но только ицмп пакеты принадлежат руту, а не анониму.
Запрещать надо руту (лучше просто всем, поскольку не логично запрещать что-либо конкретно руту).
— Гость (28/09/2011 14:00)   <#>
Хорошо, давайте немного заземлим эту дискуссию. Пусть я работаю под анонимным пользователем и хочу сам себя чисто программными автоматическими средствами деанонимизировать. Напишите мне скрипт или программу, которая, будучи запущенной под tor_user, пошлёт заданный ICMP-пакет на заданный адрес.

Я согласен, что ICMP лучше блокировать, но в данном конкретном случае я решил, что это не слишком опасно и потому оставил. Всё же интересно услышать детали — что вы имеете в виду.
— Гость (28/09/2011 16:03)   <#>

tor_user@harakiri:$ /bin/ping -c 1 deanon.complete
PING deanon.complete (66.66.66.66) 56(84) bytes of data.
64 bytes from deanon.complete (66.66.66.66): icmp_req=1 ttl=66 time=11 ms


deanon.complete ping statistics
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 11.312/11.312/11.312/0.000 ms
— Гость (28/09/2011 17:40)   <#>
Да, теперь всё понял. Сглючило меня :( Спасибо за замечание.

Действительно, владельцем ICMP пакетов будет всегда рут, кто бы их ни посылал. Оставлял чисто для быстрой проверки проблем с инетом и не подумал, хотя на стандартных конфигурациях всегда отключал ICMP. Видимо, ошибся из-за того, что забыл про привязку host:IP к конкретному протоколу. Стандартные краш-тесты тоже ничего не показали, т.к. резолвинг был закрыт из-за бана udp. Однако ж, по ICMP пакет должен был пойти, увы. Окончательно протестить не удалось — ICMP почему-то сейчас никак не работает, даже с отключенным fw.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3