На повестке поста n вопросов:n1) Я параноик. Хочу сделать в iptables
*filter
INPUT [DROP]
FORFARD [DROP]
OUTPUT [DROP]
а потом открыть только нужные порты. Целесообразно ли так делать? Какая политика цепочек по умолчанию будет лучше?n2) Как открыть доступ в интернет для squid не используя --uid-owner и используя политику DROP по умолчанию?
>[оверквотинг удален]
>n1) Я параноик. Хочу сделать в iptables
>*filter
>INPUT [DROP]
>FORFARD [DROP]
>OUTPUT [DROP]
>а потом открыть только нужные порты. Целесообразно ли так делать? Какая политика
>цепочек по умолчанию будет лучше?
>
>n2) Как открыть доступ в интернет для squid не используя --uid-owner и
>используя политику DROP по умолчанию?ИМХО в OUTPUT лучше поставить ACCEPT, но и так можно заставить работать. Возни, только, много. Обязательно на выход и на вход должны быть открыты верхние "пользовательские" порты:
#cat /proc/sys/net/ipv4/ip_local_port_range
для лучшей безопасности их ставят 32768-61000:
#echo "31768 61000" > /proc/sys/net/ipv4/ip_local_port_rangeИ, в данном случае для входа на сквид, надо открыть порт 3128 со стороны локалки. Все.
>Обязательно на выход и на вход должны быть
>открыты верхние "пользовательские" порты.А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений?
>для лучшей безопасности их ставят 32768-61000:
А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет на безопастность?
>>Обязательно на выход и на вход должны быть
>>открыты верхние "пользовательские" порты.
>
>А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений?На вход - да.
А на выход - как Вы это себе представляете?>
>
>>для лучшей безопасности их ставят 32768-61000:
>
>А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет
>на безопастность?Этот диапазон за пределами используемых стандартными севисами.
>>>для лучшей безопасности их ставят 32768-61000:
>Этот диапазон за пределами используемых стандартными севисами.Меня беспокоит, что если открыты исходящие порты, пусть даже и непривилигированные, то хакер, получив доступ с правами nobody, сможет открыть через эти порты соединение.
>На повестке поста n вопросов:Спасибо dandou, вопрос закрыт.