- Зацените iptables, aaa, 07:26 , 25-Дек-09 (1)
>[оверквотинг удален] >решил их закрыть >-A OUTPUT -p tcp -m tcp --sport 111 -j DROP >-A OUTPUT -p tcp -m tcp --sport 631 -j DROP >-A OUTPUT -p tcp -m tcp --sport 766 -j DROP >-A OUTPUT -p tcp -m tcp --sport 2207 -j DROP >-A OUTPUT -p tcp -m tcp --sport 2208 -j DROP >-A OUTPUT -p tcp -m tcp --sport 5810 -j DROP >-A OUTPUT -p tcp -m tcp --sport 5811 -j DROP >-A OUTPUT -p tcp -m tcp --sport 6010 -j DROP >-A OUTPUT -p tcp -m tcp --sport 6011 -j DROP Тогда эти правила надо в INPUT, но и без них можно обойтись. С вашей цепочкой OUTPUT Вы с этой машины не на один ftp не попадете.
- Зацените iptables, d1mak, 09:17 , 25-Дек-09 (2)
>[оверквотинг удален] >>-A OUTPUT -p tcp -m tcp --sport 5810 -j DROP >>-A OUTPUT -p tcp -m tcp --sport 5811 -j DROP >>-A OUTPUT -p tcp -m tcp --sport 6010 -j DROP >>-A OUTPUT -p tcp -m tcp --sport 6011 -j DROP > >Тогда эти правила надо в INPUT, но и без них можно обойтись. > > >С вашей цепочкой OUTPUT Вы с этой машины не на один ftp >не попадете. а при закрытии порта и в INPUT и в OUTPUT надо добавлять ? Потому что я потом nmap"ом посмотрел они вроде filtered. А про ftp это вы верно подметили не успел просто еще ). А в целом как нормально или требует доработки?
- Зацените iptables, SOLDIER, 12:18 , 25-Дек-09 (3)
А на кой черт вообще запрещать что-то в цепочке OUTPUT? Вы уверены, что правильно поняли смысл цепочек в iptables? OUTPUT - это цепочка, используемая ЛОКАЛЬНЫМИ приложениями (сервисами) самой машины.
- Зацените iptables, SOLDIER, 12:19 , 25-Дек-09 (4)
Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это сильный ход. :)))) Далеко пойдете.
- Зацените iptables, d1mak, 12:49 , 25-Дек-09 (6)
>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это >сильный ход. :)))) Далеко пойдете. А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее?
- Зацените iptables, SOLDIER, 14:08 , 25-Дек-09 (8)
>>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это >>сильный ход. :)))) Далеко пойдете. > >А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее? Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой ОС) в состоянии разобраться что и почему него запущено на компьютере.
- Зацените iptables, d1mak, 14:43 , 25-Дек-09 (10)
>>>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это >>>сильный ход. :)))) Далеко пойдете. >> >>А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее? > > Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой >ОС) в состоянии разобраться что и почему него запущено на компьютере. >спасибо буду разбираться дальше )
- Зацените iptables, d1mak, 21:38 , 26-Дек-09 (12)
>>>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это >>>сильный ход. :)))) Далеко пойдете. >> >>А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее? > > Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой >ОС) в состоянии разобраться что и почему него запущено на компьютере. >Со всеми портам разобрался а вот с эти не могу 770 tcp кто его использует что за служба?
- Зацените iptables, p0gank, 22:02 , 26-Дек-09 (13)
>Со всеми портам разобрался а вот с эти не могу 770 tcp >кто его использует что за служба? netstat -lpn | grep 770
- Зацените iptables, p0gank, 22:07 , 26-Дек-09 (14)
> Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой >ОС) в состоянии разобраться что и почему него запущено на компьютере. >Вот именно исходя из этого мнения, что нормальный пользователь Линукс в состоянии знать что у него работает/будет работать на компьютера, и ставится OUTPUT в DROP.
- Зацените iptables, Andrey Mitrofanov, 13:31 , 25-Дек-09 (7)
>политику по дефолту в OUTPUT в DROP - это сильный ход. :)))) Далеко пойдете. А мне нравится. :-] http:/openforum/vsluhforumID10/3779.html#4 [...] *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] [...] -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m state --state RELATED -j ACCEPT -A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'" -A OUTPUT -j DROP
- Зацените iptables, SOLDIER, 14:19 , 25-Дек-09 (9)
>[оверквотинг удален] >[...] >*filter >:INPUT DROP [0:0] >:FORWARD DROP [0:0] >:OUTPUT DROP [0:0] >[...] >-A OUTPUT -o lo -j ACCEPT >-A OUTPUT -m state --state RELATED -j ACCEPT >-A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'" >-A OUTPUT -j DROP То есть на самом компьютере Вы не собираетесь запускать ни одного приложения (браузера, к примеру), которое будет выходить в Интернет (варианты - менеджеры пакетов - apt-get, yast, emerge etc)? Верх мудрости - закрывать самому себе выход.
- Зацените iptables, Andrey Mitrofanov, 16:59 , 25-Дек-09 (11)
> То есть на самом компьютере Вы не собираетесьА-а-га. Там, по ссылке, был _учебный_ (но полностью работающий - и соответствующий постанове) пример. %) Вот пример http:/openforum/vsluhforumID10/4099.html#7 с невырожденным OUTPUT (=присутствующим interface+client), если интересно---
- Зацените iptables, d1mak, 12:47 , 25-Дек-09 (5)
>А на кой черт вообще запрещать что-то в цепочке OUTPUT? Вы уверены, >что правильно поняли смысл цепочек в iptables? OUTPUT - это цепочка, >используемая ЛОКАЛЬНЫМИ приложениями (сервисами) самой машины. Спаибо ). значит закрою тока в INPUT .
|