iptables+nmblookup

Здравствуйте, Rygoravich.

ли

Вот тут и пришли к тому, что правильнее было бы настроить службы -
тогда и запрещать ничего (или практически ничего) не нужно было бы.

А с ICMP можно на уровне /proc поработать - запретить echo request и
прочее, если нужно

Доброго времени суток.

On Tue, 23 Nov 2004 14:23:17 +0200
Майоров И.Е. <electron***@m*****.ru> wrote:

Вроде настроены... Но apache и vsftpd, насколько я понимаю, не умеют интерфейсы
различать... Только если конкретный адрес апачу указать (например 127.0.0.1),
а диапазон - никак...

Эээ... Короче учиться, учиться и учиться:).

В сообщении от 1101424687 секунд после начала Эпохи Unix Вы написали:

Отрывок из Apache HTTP Server Version 2.0 Documentation:

The Allow directive affects which hosts can access an area of the
server. Access can be controlled by hostname, IP Address, IP Address
RANGE, or by other characteristics of the client request captured in
environment variables.

Или в 1.3 такого нету?

Доброго времени суток.

On Fri, 26 Nov 2004 07:59:14 +0200
Konstantin Korikov <lostcl***@s*****.com> wrote:

Спасибо, буду знать:).

У меня второй апач...

Rygoravich wrote:

А без файервола такое дело работает?
Как вариант: может следует прописать свой хост в /etc/hosts?

Если сервис на этом порту не дырявый то безопасно.
Мой опты показывает, что целенаправленной атакой при хорошем можно
устроить отказ в обслуживании любого udp сервиса.

53 - порт dns servera его придется открыть - без него никак

ли

Для домашней машины можно и все разрешить, для сервера лучше контролировать.

Мой файрвол:
$IPTABLES -A icmp_pck -p ICMP --icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_pck -p ICMP --icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_pck -p ICMP --icmp-type 11 -j ACCEPT
$IPTABLES -A icmp_pck -m limit --limit 2/minute --limit-burst 6 -j LOG
--log-prefix "ICMP packet died: "
$IPTABLES -A icmp_pck -p ICMP -j DROP

Andrew Gusev

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13762; Возраст листа: 486; Участников: 1288
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/269302

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Доброго времени суток.

On Tue, 23 Nov 2004 21:52:50 +0300
Andrew Gusev <a.gusev19***@m*****.ru> wrote:

Без файвола работает, в /etc/hosts прописано... А вообще, данный вопрос можно
считать снятым:). Проблема решилась следующим образом:
# iptables -A INPUT -s 192.168.0.0/255.255.0.0 -p udp -m udp --dport 137:139
-j ACCEPT

Наверное, я неясно выразился... Беспокоит меня то, что при этих правилах пропускаются
все пакеты, отправленные с 53-го и 137-го (в пределах локалки) портов. Т.е. теоретически
можно послать пакет, например, с 53-го порта какой-нибудь хакерской программой
на 80-ый порт моего компа, он будет принят и обработан... А 80-ый порт должен
быть доступен только с локалки, но не из инета!

Может быть можно чем-то эти правила заменить?

Короче, пока разрешил все, по мере изучения буду смотреть:).

Спасибо, сделал подобным образом у себя, вроде работает:).

А вообще - есть какая-нибудь русская инфа в сети о протоколах icmp и udp? А то
я очень слабо представляю, как они работоают и для чего нужны...

И еще такой вопрос - под виндой я когда-то использовал Angitum Outpost Firewall
(сейчас оффтоп вообще в сеть не пускаю:)), так там была возможность управлять
доступом в сеть на уровне приложений. Например, запретить ослику работать с сетью,
но разрешить Опере... Можно ли такое реализовать в Linux?

Здравствуйте, Rygoravich.

теоретически

ну так кто мешает написать что в цепь ИНПУТ с дестинейшном
111.222.333.444(твой внешний IP) дпорт 80 ДРОП?

Или прибиндить к интерфейсу локалки?

А то

с сетью,

Это не unix-way:(

Доброго времени суток.

On Fri, 26 Nov 2004 10:48:55 +0200
Майоров И.Е. <electron***@m*****.ru> wrote:

Так это опять же нужно отслеживать для каждого порта... Неужели никак иначе это
реализовать? А если я подключу еще какой-нить сервис да забуду правила файрвола
отредактировать? Получается, что все преимущества правила
iptables -P INPUT DROP
просто теряются:(.

Ээ... А "прибиндить" - это что такое?

Имхо, это все-таки серьезный недостаток... Получается, одна паршивая овца (т.е.
одна программа с жучком) может всю супер-пупер защиту к чертям отправить...

В сообщении от 1101656847 секунд после начала Эпохи Unix Вы написали:

А откуда жучкам взяться то в Open Source? :)

Доброго времени суток.

On Sun, 28 Nov 2004 21:39:29 +0200
Konstantin Korikov <lostcl***@s*****.com> wrote:

Ну, а ежели какую-нибудь шароварную прогу заюзать? Представьте - сидит какой-нибудь
DrWeb на почтовом сервере и раздает приватную почту по инету налево и направо...

В сообщении от 1101762546 секунд после начала Эпохи Unix Вы написали:

Если есть лицензия, надрать уши разработчикам. А если кантора не может
или не хочет приобретать лицензию, то пусть использует свободный
антивирус.

Доброго времени суток.

On Tue, 30 Nov 2004 16:36:46 +0200
Konstantin Korikov <lostcl***@s*****.com> wrote:

Ну, положим, уши можно надрать, только в случае обнаружения сего жучка... Не
пойман - не вор??? Но ведь последствия утечки информации может быть весьма серьезной...

Впрочем, это уже оффтоп...

Здравствуйте, Rygoravich.

это

А тут нужно делать все вместе, и не забывать про сканеры
безопасности...

К этому можно прийти позже, а пока еще точно не знаешь какие пакеты
для чего и что можно пускать, а что нет - прикрывайся.

bind. например в xinetd есть возможность привязать сервис к интерфейсу
одной строчкой.

(т.е.

Если нужна супер-пупер защита, то не выставляй сервисы наружу, и будь
параноиком... помогает спать спокойно. Делай в системе закладки, и
обращай на их изменения...

Если чесно, то по 5-и бальной шкале небезопасности САМБА имеет оценку
4,5, т.е. большей дырки в системе ты не найдешь(если конечно у тя еще
нету кучи дефолтных загруженных сервисов)...

Был как-то случай, что ошибался при конфигурировании самбы(хотя конфиг
выглядел даже очень правильно), и получался доступ с винды к / ...

Доброго времени суток.

On Mon, 29 Nov 2004 08:40:30 +0200
Майоров И.Е. <electron***@m*****.ru> wrote:

Так в том-то и дело, что у меня сейчас стоит DROP policy для цепочки input...
Проблема в том, что правило
iptables -A INPUT -p udp --sport 53 -j ACCEPT
делает ее абсолютно неэффективной (т.е. все равно любые пакеты пройдут через
файрвол, при условии, что они отправлены с 53-го порта. Так вот можно ли прописать
пакеты от dns-серверов каким-нибудь другим способом, так, чтобы не оставлять
никаких лазеек для других пакетов и не иметь проблем с dns? Неужели все эту дыру
оставляют???

Да в принципе, насколько я знаю, за мной никто не охотится, но все же... Приятно
чувствовать себя защищенным, да и опыта поднаберусь...

Я так понимаю, с точки зрения защиты любой клиент может быть дыркой почище, чем
самба - кто ему мешает читать файлы пользователя и отправлять их по какому-нибудь
80 порту куда угодно? Я об этом и говорил - получается, в винде есть способ разрешить/запретить
работу с сетью конкретному приложению, а в Линуксе - нет... Может, тот же acrobat
reader (а любое проприентарное приложение - потенциальный кандидат на эту роль)
что-то через 80-ый порт пересылает? Пароли, например...

Если не секрет - каким образом? Любопытно...

Здравствуйте, Rygoravich.

дыру

Э-э-э-э, товарищ. ДНС сервера не делают соединений с тобой...
(конечно, если ты не корневой :-) ). А _ты_ делашь соединения с ними и
выглядит это примерно так(равно как для tcp, как и удп):
у тебя берется соурспорт 30235(к примеру) и идет на дестинейшн-порт 53
внешнего ДНСа. Так что строчка

некорректна(заметь, OUTPUT и ДПОРТ).
Далее, если это tcp, то ответ идет в рамках установленного tcp
соединения, т.е. все как и указано - OUTPUT и ДПОРТ.

Между, прочим, есть такое правило, что если по udp не удается связатся
с сервером, то устанасливают tcp соединение, это тоже нужно учитывать

Делаем правильные правила

Доброго времени суток.

On Tue, 30 Nov 2004 09:09:43 +0200
Майоров И.Е. <electron***@m*****.ru> wrote:

Такое чувство, что мы говорим на разных языках... Фишка в том, что я хочу избавиться
от этой некорректной строчки, но если я ее убираю, то не могу достучаться до
хостов, которых нет в моем кэше (в смысле, кэше pdnsd). Набор правил в настоящее
время таков:

[rygoravich@rygoravich rygoravich]$ sudo iptables-save
# Generated by iptables-save v1.2.8 on Thu Dec 2 02:40:54 2004
*filter
:INPUT DROP [116139:5420097]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [54069:21313468]
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 137:139 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -p udp -m udp --dport 137:139 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -p udp -m udp --sport 137 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
COMMIT
# Completed on Thu Dec 2 02:40:54 2004
[rygoravich@rygoravich rygoravich]$

Так вот что мне прописать вместо нее, дабы нормально общаться с dns-серверами
провайдера?

Здравствуйте, Rygoravich.

до

Беру свои слова обратно, таки правильно выражение --sport 53 - только
что проверил сниффером. Но это справедливо для УДП. Но ведь я ж тебе
сообщил, что можна и по ТСР. вот и думай, как правило написать. Если
извесны адреса ДНСов - то ты их можешь прописать в -source , добавив к
правилу. Либо забей УДП и разреши для ТСР, но это слегка замедлит
работу...
Чисто принципиально не стану писать готовую строку, т.к. это поможет
выучить наконец туториал....:)

Доброго времени суток.

On Thu, 2 Dec 2004 12:57:20 +0200
Майоров И.Е. <electron***@m*****.ru> wrote:

Правильное в смысле синтаксиса, но, имхо, ошибочное в плане безопасности...

В общем-то, проблему с dns решил, прописав
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
однако от строки
-A INPUT -s 192.168.0.0/255.255.0.0 -p udp -m udp --sport 137 -j ACCEPT
избавиться по-прежнему не удается - при ее удалении nmblookup не видит компы
(т.е. не определяет ip компов, которые в сети присутствуют)...

Когда на часах было Thu, 2 Dec 2004 02:43:19 +0200
некто Rygoravich <rygoravi***@o*****.info> написал(а):

Попробуй добавить здесь такое правило
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
^^^

Ну а эту естественно закоментировать

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 14047; Возраст листа: 495; Участников: 1280
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/273953

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Доброго времени суток.

On Thu, 2 Dec 2004 14:30:27 +0600
Алексей Горбунов <bigwildc***@y*****.ru> wrote:

Спасибо, частично помогло... Т.е. с DNS проблема решилась, но, увы, осталась
с nmblookup... Т.е. строка
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
удалилась без проблем, но если удалить строку
-A INPUT -s 192.168.0.0/255.255.0.0 -p udp -m udp --sport 137 -j ACCEPT
то nmblookup не находит ни одного хоста...

Тут в чем может быть проблема?

Когда на часах было Sat, 4 Dec 2004 21:34:41 +0200
некто Rygoravich <rygoravi***@o*****.info> написал(а):

Проблема в том, что nmblookup посылает широковещательные пакеты, в вашем
случае это будет 192.168.255.255, а ответ приходит от определенного
хоста. Соответственно пришедший пакет не будет связан отношением RELATED
с отправленным и firewall отбросит его. Даже и не знаю как в таком
случае вам лучше поступить.
Просто обычно сеть MS используется исключительно в локальных сетях,
которые предполагают какой-то минимум доверия. Поэтому, на мой взгляд, у
вас есть два пути, либо вообще отказаться от использования nmblookup
(вполне можно работать с сетью MS и без него), либо разрешить входящие
пакеты с этого порта, только наверное можно добавить такие опции
-d $YOUR_IP -dport 32768-65535

Думаю, имеются и другие варианты, но пока ничего другого в голову не
приходит

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 14143; Возраст листа: 499; Участников: 1278
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/276324

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Доброго времени суток.

On Mon, 6 Dec 2004 10:01:18 +0600
Алексей Горбунов <bigwildc***@y*****.ru> wrote:

Спасибо за объяснение, теперь наконец дошло:).

Вообще-то без него сложновато... Например, pop-up-сообщения не работают...

Спасибо, так и сделал. Вот только можно уточнить - зачем в данном случае устанавливать
собственный айпишник? Разве могут попасть ко мне пакеты, предназначенные для
других компов?

В сообщении от 1101780527 секунд после начала Эпохи Unix Вы написали:

Вывод: если у Вас security-паранойя, не используйте проприентарный
софт. А вообще для таких случаев лучше воспользоваться
специализированными решениями, например Trustix Secure Linux (сам не
пользовался, так как паранойей не страдаю).

Доброго времени суток.

On Tue, 30 Nov 2004 16:53:50 +0200
Konstantin Korikov <lostcl***@s*****.com> wrote:

Имхо, сегодня это можно реализовать только на серверах. А на домашнем компе нужно
быть сверхаскетом... Придется мне признать, что надежную в плане безопасности
домашнюю систему создать невозможно и шагать со своей паранойей к психиатру...

А это что такое, если не секрет?

Здравствуйте, Rygoravich.

Специализированный дистрибутив весом 180 мегабайт, ничего лишнего,
нету Х-ов, работает бысто, очень секурный. У меня провайдер на таковом
работает, и все очень удачно. ИМХО это заточенный линукс для работы с
сетью. Для работы с ним нужно иметь прямозаточенные руки и понимание.
Никакой русификации.
BEST BUY для сетевика-фанатика безопасности.
Напомню, группа Трастикс распалась, так что обновлений наверное не
будет, хотя с прямыми руками возможно всё.
Будем надеятся, что кто-то будет таки поддреживать их

Приветствую.

Хм. У меня лежит образ Trustix 2.2, но он около 380 метров. А вообще,
что-то мне подсказывает, что он не такой уж и мертвый - в Linux Advisory
Watch он появляется. Да и последние сборки (если я правильно понимаю
http://ftp.iasi.roedu.net/pub/mirrors/trustix.org/releases/trustix-2.2/iso/ )
датируются 26 ноября.

--
Успехов!
Роман.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 14040; Возраст листа: 495; Участников: 1280
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/273688

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

В сообщении от 1101947937 секунд после начала Эпохи Unix Вы написали:

Нет! :) Есть два решения: а) своими усилиями, если руки прямозаточенные,
создать свою ОС-крепость; б) доверить это дело профессионалам, конечно
не бесплатно.