praegune kellaaeg 16.06.2025 05:49:20 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
sasskinn12
HV kasutaja
liitunud: 20.10.2008
|
15.01.2011 20:46:19
iptables aidake??? |
|
|
Kes oskab aidata kuidas saab teha iptables abil nii:
et tulemüür laseks kõik paketid internetist läbi portide 25,80,53 teised pordid peavad olema kättesaadavad ainult "omadele"?
nii?
sudo iptables -F
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P INPUT DROP
sudo iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
|
|
| Kommentaarid: 31 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
27 |
|
| tagasi üles |
|
 |
Dogbert
HV Guru
liitunud: 03.05.2004
|
|
16.01.2011 00:13:48
|
|
|
1. Kas raud on mingi "purk", et shorewalli kasutada pole võimalik? Kui reeglid vähegi keerulisemaks lähevad, läheb iptables reeglistik keerulisemaks kordades või eksponentsiaalselt ja äärmiselt soovitatav oleks kasutada shorewalli. Iptables on hea juhul, kui masin on väga nigelake, nagu igasugu karbiruuterid ja reeglid on hästi lihtsad. Muidugi enesearendamiseks võib teda ka mudida, kui tahad asjast mingit ettekujutust saada.
2. Kas kernel ei ole kompileeritud olekupõhise (stateful) netfiltriga, et port 53 tahad püsivalt sisse lasta? Kui filter on olekupõhine, tuleb DNS päringu vastus tagasi läbi RELATED reegli, mis võiks olla defineeritud koos ESTABLISHED reegliga juba loodud TCP sessioonidele. Ilma FORWARD RELATED reeglita nagunii DNS tööle ei hakka NAT-i taga, sest tagasi tulevad paketid ei jõua päringu välja saatnud masinani.
Kui tahad iptables-iga edasi nikerdada, siis sai paar aastat tagasi huvi pärast siin mingi korrektselt töötav tabel kokku pandud - kui selle eeskuju järgid, peaksid hakkama saama.
Kui sisevõrgus on masinaid rohkem, siis peaks veel lisaks hoolitsema ka selle eest, et sisevõrku juhuslikult sattunud nakatunud masinad väljaspool sinu võrku palju pahandust tegema ei pääseks. Mõned elementaarsed ettevaatusabinõud kuluks ära, nagu:
1. väljuvate, port 25 peale suunatud TCP ühenduste blokeerimine kõigile peale meiliserveri (väga kerge on oma meiliserveriga sattuda blacklistidesse, kui sinu võrgust spämmi välja pritsitakse)
2. blokeerida võiks ka väljuvad TCP port 445, 137 ja 139 (ja 3389) ning UDP 137 ja 138, aga tegelikult võiks blokeerida kogu väljuva UDP peale hädavajaliku, nagu port 53 (DNS) ja 123 (NTP). Meiliserveril võib veel vaja minna UDP porte 6277 (DCC) ja 24441 (Pyzor), kui serveris on Spamassassin DCC ja Pyzor pluginatega, Razor kasutab ainult TCP-d ja lisareegleid ei vaja seetõttu. Kui veel mingeid olulisi UDP-l põhinevaid rakendusi on võrgus, siis neile ka erandid muidugi.
_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus. |
|
| Kommentaarid: 33 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
32 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
