URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 10059
[ Назад ]

Исходное сообщение
"политика безопасности"

Отправлено mrAngel , 06-Ноя-01 14:20 
конфиг ipchains'a, достаточно ли, и есть ли что неправильное?
# my IP xx.xx.xxx.145
:input DENY
:forward ACCEPT
:output ACCEPT
-A input -s 127.0.0.1/255.255.255.255 -d 127.0.0.1/255.255.255.255 -j ACCEPT
-A input -s xx.xx.xxx.145/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT
-A input -s xx.xx.xxx.145/255.255.255.255 -d 127.0.0.1/255.255.255.255 -j ACCEPT
-A input -s 127.0.0.1/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 21:21 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 21:21 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 53:53 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 53:53 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 80:80 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 80:80 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 110:110 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 110:110 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 4000:4000 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 4000:4000 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 8000:8100 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 8000:8100 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT
-A input -s xx.xx.xxx.130/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT
-A input -s xx.xx.xxx.131/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT
-A input -s xx.xx.xxx.133/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT
-A input -s xx.xx.xxx.134/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT
-A input -s xx.xx.xxx.136/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT
-A input -s xx.xx.xxx.138/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT
-A input -s xx.xx.xxx.212/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT
-A input -s xx.xx.xxx.0/255.255.255.0 -d xx.xx.xxx.255/255.255.255.255 -j DENY
-A input -s xx.xx.xxx.0/255.255.255.0 -d 255.255.255.255/255.255.255.255 -j DENY
-A input -s xx.xx.xxx.0/255.255.255.0 -d 224.0.1.24/255.255.255.255 -j DENY
-A input -s 192.168.1.1/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j DENY
-A input -s 0.0.0.0/0.0.0.0 8:8 -d xx.xx.xxx.145 -p 1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d xx.xx.xxx.145 -p 1 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l

Содержание

Сообщения в этом обсуждении
"RE: политика безопасности"
Отправлено Cobold , 08-Ноя-01 04:21 
>конфиг ipchains'a, достаточно ли, и есть
>ли что неправильное?

Есть пара замечаний:

1) Если эта машина чистый сервер - то зачем нужна первая половина конфига?
А если возможны клиентские запросы - то не мешало бы и клиентские порты на xx.xx.xxx.145 разрешить.

2) мелочь, конечно, и всетаки: при input DENY нет необходимости ставить дополнительные запреты
3) также нет особой необходимости ставить DENY, можно ограничиться REJECT.
4) при необходимости маскерадинга не помешает и forward MASQ добавить.

Cobold.


"RE: политика безопасности"
Отправлено mrAngel , 08-Ноя-01 19:24 
те DENY что стоят внизу, эт чтоб в логи не падало, а последний как раз и в лог капает, а вообще эт для удобства... но все равно спасибо :)
а REJECT плох тем, что отвечает быстро, и покажет что машинка жива, а это не нужно (как раз для этого поставил echo-request DENY):
-A input -s 0.0.0.0/0.0.0.0 8:8 -d xx.xx.xxx.145 -p 1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d xx.xx.xxx.145 -p 1 -j ACCEPT
, можно было бы не 8:8 DENY, а !8:8 ACCEPT, но ведь мало ли, вдруг и другие ICMP заткнуть придется(?)