Конфигурирование iptables
Доброго времени суток всем!
Уважаемый SATtva с год назад в рамках обсуждения настройки брандмауэра сказал, что виндовый способ мышления меня когда-нибудь погубит. Надеюсь, мне удалось изменить его (теперь ОС, загружающаяся по умолчанию, Debian) :)
После прочтения статей Oskar'а Andreasson'а в переводе Андрея Киселева, а также материалов (не всех ещё) с официального сайта iptables, некоторых других составил набор правил. Но, отдавая себе отчёт в том, что всевозможных тонкостей значительно больше, чем мне известно, хотел бы просить у профессионалов оценить степень защиты, даваемую нижеприведенными настройками для персонального компьютера, указать какие ещё правила для повышения защищённости можно добавить.
Например, так ли уж нужно использование помимо udp ещё и tcp протокола для связи с dns сервером в случае с персональнм компьютером?
Спасибо
комментариев: 9796 документов: 488 редакций: 5664
Если это
Для чего вы используете форвардинг? И включаете динамическую адресацию при том, что указан только интерфейс eth0? Получаете адрес по DHCP и пишете его в логи? Сервисы, которые у вас дропаются, они реально запущены на вашей машине?
Также, так ли уж оправдана политика DROP для OUTPUT с ограниченным числом разрешённых портов?
Действительно, не нужно.
комментариев: 3 документов: 1 редакций: 3
1. Похоже, с форвардингом я погорячился.
2.
из статьи
Может, я неправильно что-то понимаю, но провайдер назначает именно динамические IP.
3.
Ёмкий вопрос. Попробуем зайти с другой стороны.
Мне нужно обеспечить работу
торрент-клиента;
sip (Ekiga);
IM (Pidgin or Kopete);
mail (pop3, imap)
Сомнения вызывает вопрос о том по каким портам работают Ekiga и IM. Из непривилегированных портов я бы оставил открытыми только используемые вышеперечисленными приложениями.
4. Если я не желаю, чтобы моу машину пинговали, то
5. Чем отличаются параметры следующих команд (на некоторых ресурсах 1-ую приводят для запуска скрипта инициализации во время загрузки, на других – 2-ую):
Может, это связано с уровнями запуска. Какую использовать?
не знаю
комментариев: 3 документов: 1 редакций: 3
Получаю адрес по DHCP, в логи не пишу
комментариев: 9796 документов: 488 редакций: 5664
Насчёт политики: на локальной машине часто разрешают все исходящие. Программы часто меняются, требуют разных портов и т.д. Всё, что запускается локально изначально доверяемо, если не нужны особые подстройки.
P.S. Если не используете протокол IPv6, то при запуске передайте через LILO или GRUB параметр ipv6.disable=1
комментариев: 3 документов: 1 редакций: 3
Выполнил update-rc.d -f rc.iptables remove
Внёс изменения в настройки:
по сравнению с исходным файлом удалил строки, определяющие параметры работы с finger, whois, gorper, wais, traceroute (для портов 20,23,43,70,79,210).
Выполнил update-rc.d rc.iptables start 90 2 3 4 5. stop 10 0 1 6 .
Перезагрузил ОС
В итоге:
Брандмауэр запрещает, похоже, всё кроме dhcp и dns .
Ситуация разрешается заменой
$IPT -P OUTPUT DROP на
$IPT -P OUTPUT ACCEPT
Вопрос:
а как в первой конфигурации всё работало?
В конечном итоге я запутался в том как iptables работает.
Конечный вариант iptables таков
Это защита или одна сплошная уязвимость?
Пояснение: на целевой машине IP=192.168.0.2 есть неанонимный инет через NAT на IP=192.168.0.1 и анонимный инет через подключение к 192.168.0.3:8118. Соответственно, юзеры root и non_tor могут использовать только неанонимный инет и без ограничений, а анонимный юзер tor_user может коннектиться исключительно к 192.168.0.3:8118 и никуда более. Помимо того, неанонимный юзер может ходить по ssh на 192.168.0.3. Я нигде не ошибся?
- Выполняем
- и комментируем весь IPv6 в /etc/hosts, для надёжности:
Т.к. стандартный iptables трафик IPv6 не регулирует никак.комментариев: 9796 документов: 488 редакций: 5664
Да, конечно. Суидных программ вообще много, если что.
комментариев: 9796 документов: 488 редакций: 5664
Хотя зачем руту вообще ходить в инет? Анонимов надо редиректить в Tor, остальных вообще в инет не пускать.
А поподробней можно? И что имеется в виду под "недрами запускаемых свистелок"? Особенно хочется узнать, как tor_user через ICMP (он ему вообще запрещён fw'ом) получает деанон.