URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 716
[ Назад ]

Исходное сообщение
"внешняя безопасность"

Отправлено Lewis , 24-Июн-03 00:55 
На сервере стоит squid, через который все ходят в и-нет + почта по smtp и pop3. Хочется настроить iptables, чтобы обезопасить сервер и локальную сеть от внешнего мира. Какие порты нужно закрыть и какие пакеты фильтровать? Ману читал, но не очень понятно что конктерно нужно сделать. А может кто поделится своим скриптом? Буду весьма признателен.

Содержание

Сообщения в этом обсуждении
"внешняя безопасность"
Отправлено rtzra , 24-Июн-03 05:16 
>На сервере стоит squid, через который все ходят в и-нет + почта
>по smtp и pop3. Хочется настроить iptables, чтобы обезопасить сервер и
>локальную сеть от внешнего мира. Какие порты нужно закрыть и какие
>пакеты фильтровать? Ману читал, но не очень понятно что конктерно нужно
>сделать. А может кто поделится своим скриптом? Буду весьма признателен.

Прийдется самому писать и не лениться.
Почитай документацию на каждую работающую софтину, определись что тебе нужно оставить для работы, а остальное затыкай.


"внешняя безопасность"
Отправлено Lewis , 25-Июн-03 14:26 
>>На сервере стоит squid, через который все ходят в и-нет + почта
>>по smtp и pop3. Хочется настроить iptables, чтобы обезопасить сервер и
>>локальную сеть от внешнего мира. Какие порты нужно закрыть и какие
>>пакеты фильтровать? Ману читал, но не очень понятно что конктерно нужно
>>сделать. А может кто поделится своим скриптом? Буду весьма признателен.
>
>Прийдется самому писать и не лениться.
>Почитай документацию на каждую работающую софтину, определись что тебе нужно оставить для
>работы, а остальное затыкай.

В том то и дело, что никак не пойму, чего хочет squid. Netstat показывает кучу портов, соединения через которые отрывает squid...


"внешняя безопасность"
Отправлено IlyaGNU , 27-Июн-03 10:58 
>>>На сервере стоит squid, через который все ходят в и-нет + почта
>>>по smtp и pop3. Хочется настроить iptables, чтобы обезопасить сервер и
>>>локальную сеть от внешнего мира. Какие порты нужно закрыть и какие
>>>пакеты фильтровать? Ману читал, но не очень понятно что конктерно нужно
>>>сделать. А может кто поделится своим скриптом? Буду весьма признателен.
>>
>>Прийдется самому писать и не лениться.
>>Почитай документацию на каждую работающую софтину, определись что тебе нужно оставить для
>>работы, а остальное затыкай.
>
>В том то и дело, что никак не пойму, чего хочет squid.
>Netstat показывает кучу портов, соединения через которые отрывает squid...
Все запрещай, потом для внешнего интерфейса закрывай все входящие запросы, разрешай только исходящие запросы,  и входящие пакеты, связанные с исходящими запросами.
Для внутреннего интерфейса разрешай входящие запросы+пакеты на порт сквида,  и исходящие пакеты, связанные со входящими запросами.
Для цепочки FORWARD по направлению изнутри наружу разрешай на свои smtp,pop,icq запросы+пакеты, а по направлению снаружи внутрь только пакеты, связанные с предыдущими запросами. Это только для iptables.  На этом сайте есть хорошее описание iptables.


"внешняя безопасность"
Отправлено gamayun , 02-Июл-03 12:14 
>>>>На сервере стоит squid, через который все ходят в и-нет + почта
>>>>по smtp и pop3. Хочется настроить iptables, чтобы обезопасить сервер и
>>>>локальную сеть от внешнего мира. Какие порты нужно закрыть и какие
>>>>пакеты фильтровать? Ману читал, но не очень понятно что конктерно нужно
>>>>сделать. А может кто поделится своим скриптом? Буду весьма признателен.
>>>
>>>Прийдется самому писать и не лениться.
>>>Почитай документацию на каждую работающую софтину, определись что тебе нужно оставить для
>>>работы, а остальное затыкай.
>>
>>В том то и дело, что никак не пойму, чего хочет squid.
>>Netstat показывает кучу портов, соединения через которые отрывает squid...
>Все запрещай, потом для внешнего интерфейса закрывай все входящие запросы, разрешай только
>исходящие запросы,  и входящие пакеты, связанные с исходящими запросами.
>Для внутреннего интерфейса разрешай входящие запросы+пакеты на порт сквида,  и исходящие
>пакеты, связанные со входящими запросами.
>Для цепочки FORWARD по направлению изнутри наружу разрешай на свои smtp,pop,icq запросы+пакеты,
>а по направлению снаружи внутрь только пакеты, связанные с предыдущими запросами.
>Это только для iptables.  На этом сайте есть хорошее описание
>iptables.

есть хорошая программа для настройки iptables
www.giptables.org

можно посмотреть сгенерированные правила в удобочитаемом виде.
Если что пиши. Сам разбирался недавно.