URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3773
[ Назад ]

Исходное сообщение
"Правильное использование iptables и iptables +squid"
Отправлено xinix , 05-Май-08 13:33

На повестке поста n вопросов:
n1) Я параноик. Хочу сделать в iptables
*filter
INPUT [DROP]
FORFARD [DROP]
OUTPUT [DROP]
а потом открыть только нужные порты. Целесообразно ли так делать? Какая политика цепочек по умолчанию будет лучше?
n2) Как открыть доступ в интернет для squid не используя --uid-owner и используя политику DROP по умолчанию?

Содержание

Правильное использование iptables и iptables +squid,dandou, 20:20 , 05-Май-08
- Правильное использование iptables и iptables +squid,xinix, 10:56 , 06-Май-08
  - Правильное использование iptables и iptables +squid,dandou, 11:09 , 06-Май-08
    - Правильное использование iptables и iptables +squid,xinix, 13:58 , 06-Май-08
Правильное использование iptables и iptables +squid,xinix, 05:41 , 07-Май-08

Сообщения в этом обсуждении

"Правильное использование iptables и iptables +squid"
Отправлено dandou , 05-Май-08 20:20

>[оверквотинг удален]
>n1) Я параноик. Хочу сделать в iptables
>*filter
>INPUT [DROP]
>FORFARD [DROP]
>OUTPUT [DROP]
>а потом открыть только нужные порты. Целесообразно ли так делать? Какая политика
>цепочек по умолчанию будет лучше?
>
>n2) Как открыть доступ в интернет для squid не используя --uid-owner и
>используя политику DROP по умолчанию?
ИМХО в OUTPUT лучше поставить ACCEPT, но и так можно заставить работать. Возни, только, много. Обязательно на выход и на вход должны быть открыты верхние "пользовательские" порты:
#cat /proc/sys/net/ipv4/ip_local_port_range
для лучшей безопасности их ставят 32768-61000:
#echo "31768 61000" > /proc/sys/net/ipv4/ip_local_port_range
И, в данном случае для входа на сквид, надо открыть порт 3128 со стороны локалки. Все.

"Правильное использование iptables и iptables +squid"
Отправлено xinix , 06-Май-08 10:56

>Обязательно на выход и на вход должны быть
>открыты верхние "пользовательские" порты.
А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений?
>для лучшей безопасности их ставят 32768-61000:
А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет на безопастность?

"Правильное использование iptables и iptables +squid"
Отправлено dandou , 06-Май-08 11:09

>>Обязательно на выход и на вход должны быть
>>открыты верхние "пользовательские" порты.
>
>А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений?
На вход - да.
А на выход - как Вы это себе представляете?
>
>
>>для лучшей безопасности их ставят 32768-61000:
>
>А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет
>на безопастность?
Этот диапазон за пределами используемых стандартными севисами.

"Правильное использование iptables и iptables +squid"
Отправлено xinix , 06-Май-08 13:58

>>>для лучшей безопасности их ставят 32768-61000:
>Этот диапазон за пределами используемых стандартными севисами.
Меня беспокоит, что если открыты исходящие порты, пусть даже и непривилигированные, то хакер, получив доступ с правами nobody, сможет открыть через эти порты соединение.

"Правильное использование iptables и iptables +squid"
Отправлено xinix , 07-Май-08 05:41

>На повестке поста n вопросов:
Спасибо dandou, вопрос закрыт.