← Август 2009 →
	1 01.08.2009 15:26:54 16:22:26	2
3	4	5 05.08.2009 00:08:32 09:20:43 09:26:47 14:37:07 22:51:14	6 06.08.2009 09:48:10 12:05:41 12:06:24 13:28:44 15:01:55	7	8 08.08.2009 10:57:01 10:57:01 22:22:33	9 09.08.2009 01:35:11 21:41:50 22:47:14 23:04:31 23:57:12
10 10.08.2009 01:02:59 09:39:46 17:35:22	11 11.08.2009 01:15:03 10:31:50 11:14:39 11:28:19	12	13	14	15	16
17 17.08.2009 10:18:31 16:14:25 17:07:40 17:07:40 22:56:33	18	19 19.08.2009 09:38:55 09:38:58 11:29:53 11:58:25 22:06:11	20	21	22	23
24	25 25.08.2009 19:38:03 23:51:24	26	27 27.08.2009 00:46:37 11:49:46 15:23:33 20:19:55 20:32:40 20:46:25	28	29 29.08.2009 23:03:29 23:20:38 23:23:03 23:31:27	30
31

← Август 2009 →

01.08.2009
15:26:54
16:22:26

05.08.2009
00:08:32
09:20:43
09:26:47
14:37:07
22:51:14

06.08.2009
09:48:10
12:05:41
12:06:24
13:28:44
15:01:55

08.08.2009
10:57:01
10:57:01
22:22:33

09.08.2009
01:35:11
21:41:50
22:47:14
23:04:31
23:57:12

10.08.2009
01:02:59
09:39:46
17:35:22

11.08.2009
01:15:03
10:31:50
11:14:39
11:28:19

17.08.2009
10:18:31
16:14:25
17:07:40
17:07:40
22:56:33

19.08.2009
09:38:55
09:38:58
11:29:53
11:58:25
22:06:11

25.08.2009
19:38:03
23:51:24

27.08.2009
00:46:37
11:49:46
15:23:33
20:19:55
20:32:40
20:46:25

29.08.2009
23:03:29
23:20:38
23:23:03
23:31:27

Посмотрите iptables (чувствую, что начинаю повторяться)

Добрый день всем!
Решил переправить правила iptables, - что бы было меньше DROP'ов, что бы разрешал
сетевые службы/софт (к примеру- торрент, donkey). Что получилось- ниже. Просьба
покритиковать, т.к. чувствую, что с этой минимальностью защитой не пахнет.

# iptables-save
# Generated by iptables-save v1.4.3.2 on Sun Aug 30 00:20:23 2009
*mangle
:PREROUTING ACCEPT [476652205:429415568279]
:INPUT ACCEPT [475091798:429183256171]
:FORWARD ACCEPT [1500161:226604389]
:OUTPUT ACCEPT [476622466:256403074939]
:POSTROUTING ACCEPT [471810799:256328185097]
COMMIT
# Completed on Sun Aug 30 00:20:23 2009
# Generated by iptables-save v1.4.3.2 on Sun Aug 30 00:20:23 2009
*nat
:PREROUTING ACCEPT [4116433:243120906]
:POSTROUTING ACCEPT [2882403:178220923]
:OUTPUT ACCEPT [7332226:447636057]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Aug 30 00:20:23 2009
# Generated by iptables-save v1.4.3.2 on Sun Aug 30 00:20:23 2009
*filter
:INPUT DROP [1889:96510]
:FORWARD DROP [0:0]
:OUTPUT DROP [208:75954]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
COMMIT
# Completed on Sun Aug 30 00:20:23 2009

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36431; Возраст листа: 2227; Участников: 1387
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/899901

Ответить

seven77

Sun, 30 Aug 2009 01:01:41 +0600 (#899901)

Ответы:

seven77 пишет:

› показать цитату

Смысла в такой параноидальности нет, имеет смысл закрывать от внешнего
мира только те службы, которые для него не предназначенны, а уж в том,
чтобы рубить исходящие пакеты смысла совсем мало.

Из того, что явно бросается в глаза:
- на ppp0 включен маскарадинг, хотя весь форвард закрыт
- исходящие соединения на 25,80 и прочие основные порты сетевых служб
закрыты, как в сети с этим работать?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36432; Возраст листа: 2227; Участников: 1387
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/899903

Ответить

Amper

Sat, 29 Aug 2009 22:19:39 +0300 (#899903)

В Sat, 29 Aug 2009 22:19:39 +0300
Amper <amper_2***@r*****.ru> пишет:

› показать цитату

Это осталось от сетки, которой пока нет, уже убрал.

› показать цитату

как в сети с этим работать?

Но ведь работает- я же отправляю почту.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36434; Возраст листа: 2227; Участников: 1387
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/899905

Ответить

seven77

Sun, 30 Aug 2009 01:29:48 +0600 (#899905)

Точнее- не могу сообразить, почему при таких правилах, nmap показывает открытый
порт:

$ nmap 77.239.219.42 -p 6881

Starting Nmap 4.76 ( http://nmap.org ) at 2009-08-30 01:18 YEKST
Interesting ports on 77.239.219.42:
PORT STATE SERVICE
6881/tcp open bittorrent-tracker

Хотя, здесь явно его не вижу:
# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:32768:65535
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spts:32768:65535

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36433; Возраст листа: 2227; Участников: 1387
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/899904

Ответить

seven77

Sun, 30 Aug 2009 01:21:53 +0600 (#899904)

Если Вы это делаете с той же машины, то срабатывает правило -A INPUT -i lo -j
ACCEPT.
On Saturday 29 August 2009 22:21:53 seven77 wrote:

Ответить

Поветкин Константин

Sat, 29 Aug 2009 23:05:23 +0300 (#899915)

← Август 2009 →
					1 01.08.2009 15:26:54 16:22:26	2
3	4	5 05.08.2009 00:08:32 09:20:43 09:26:47 14:37:07 22:51:14	6 06.08.2009 09:48:10 12:05:41 12:06:24 13:28:44 15:01:55	7	8 08.08.2009 10:57:01 10:57:01 22:22:33	9 09.08.2009 01:35:11 21:41:50 22:47:14 23:04:31 23:57:12
10 10.08.2009 01:02:59 09:39:46 17:35:22	11 11.08.2009 01:15:03 10:31:50 11:14:39 11:28:19	12	13	14	15	16
17 17.08.2009 10:18:31 16:14:25 17:07:40 17:07:40 22:56:33	18	19 19.08.2009 09:38:55 09:38:58 11:29:53 11:58:25 22:06:11	20	21	22	23
24	25 25.08.2009 19:38:03 23:51:24	26	27 27.08.2009 00:46:37 11:49:46 15:23:33 20:19:55 20:32:40 20:46:25	28	29 29.08.2009 23:03:29 23:20:38 23:23:03 23:31:27	30
31

Linux: разрешение вопросов, перспективы и общение

Статистика

Посмотрите iptables (чувствую, что начинаю повторяться)

Ответы: