forum.opennet.ru - "политика безопасности" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"политика безопасности"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"политика безопасности"
Сообщение от mrAngel on 06-Ноя-01, 14:20 (MSK)
конфиг ipchains'a, достаточно ли, и есть ли что неправильное? # my IP xx.xx.xxx.145 :input DENY :forward ACCEPT :output ACCEPT -A input -s 127.0.0.1/255.255.255.255 -d 127.0.0.1/255.255.255.255 -j ACCEPT -A input -s xx.xx.xxx.145/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT -A input -s xx.xx.xxx.145/255.255.255.255 -d 127.0.0.1/255.255.255.255 -j ACCEPT -A input -s 127.0.0.1/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 21:21 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 21:21 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 53:53 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 53:53 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 80:80 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 80:80 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 110:110 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 110:110 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 4000:4000 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 4000:4000 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 8000:8100 -d xx.xx.xxx.145/255.255.255.255 -p 17 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 8000:8100 -d xx.xx.xxx.145/255.255.255.255 -p 6 -j ACCEPT -A input -s xx.xx.xxx.130/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT -A input -s xx.xx.xxx.131/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT -A input -s xx.xx.xxx.133/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT -A input -s xx.xx.xxx.134/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT -A input -s xx.xx.xxx.136/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT -A input -s xx.xx.xxx.138/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT -A input -s xx.xx.xxx.212/255.255.255.255 -d xx.xx.xxx.145/255.255.255.255 -j ACCEPT -A input -s xx.xx.xxx.0/255.255.255.0 -d xx.xx.xxx.255/255.255.255.255 -j DENY -A input -s xx.xx.xxx.0/255.255.255.0 -d 255.255.255.255/255.255.255.255 -j DENY -A input -s xx.xx.xxx.0/255.255.255.0 -d 224.0.1.24/255.255.255.255 -j DENY -A input -s 192.168.1.1/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j DENY -A input -s 0.0.0.0/0.0.0.0 8:8 -d xx.xx.xxx.145 -p 1 -j DENY -A input -s 0.0.0.0/0.0.0.0 -d xx.xx.xxx.145 -p 1 -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: политика безопасности, Cobold, 04:21 , 08-Ноя-01, (1)
- RE: политика безопасности, mrAngel, 19:24 , 08-Ноя-01, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: политика безопасности"

Сообщение от Cobold on 08-Ноя-01, 04:21 (MSK)

>конфиг ipchains'a, достаточно ли, и есть
>ли что неправильное?
Есть пара замечаний:
1) Если эта машина чистый сервер - то зачем нужна первая половина конфига?
А если возможны клиентские запросы - то не мешало бы и клиентские порты на xx.xx.xxx.145 разрешить.
2) мелочь, конечно, и всетаки: при input DENY нет необходимости ставить дополнительные запреты
3) также нет особой необходимости ставить DENY, можно ограничиться REJECT.
4) при необходимости маскерадинга не помешает и forward MASQ добавить.
Cobold.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: политика безопасности"

Сообщение от mrAngel on 08-Ноя-01, 19:24 (MSK)

те DENY что стоят внизу, эт чтоб в логи не падало, а последний как раз и в лог капает, а вообще эт для удобства... но все равно спасибо :)
а REJECT плох тем, что отвечает быстро, и покажет что машинка жива, а это не нужно (как раз для этого поставил echo-request DENY):
-A input -s 0.0.0.0/0.0.0.0 8:8 -d xx.xx.xxx.145 -p 1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d xx.xx.xxx.145 -p 1 -j ACCEPT
, можно было бы не 8:8 DENY, а !8:8 ACCEPT, но ведь мало ли, вдруг и другие ICMP заткнуть придется(?)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: политика безопасности"
Сообщение от Cobold on 08-Ноя-01, 04:21 (MSK)
>конфиг ipchains'a, достаточно ли, и есть >ли что неправильное? Есть пара замечаний: 1) Если эта машина чистый сервер - то зачем нужна первая половина конфига? А если возможны клиентские запросы - то не мешало бы и клиентские порты на xx.xx.xxx.145 разрешить. 2) мелочь, конечно, и всетаки: при input DENY нет необходимости ставить дополнительные запреты 3) также нет особой необходимости ставить DENY, можно ограничиться REJECT. 4) при необходимости маскерадинга не помешает и forward MASQ добавить. Cobold.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: политика безопасности"
	Сообщение от mrAngel on 08-Ноя-01, 19:24 (MSK)
	те DENY что стоят внизу, эт чтоб в логи не падало, а последний как раз и в лог капает, а вообще эт для удобства... но все равно спасибо :) а REJECT плох тем, что отвечает быстро, и покажет что машинка жива, а это не нужно (как раз для этого поставил echo-request DENY): -A input -s 0.0.0.0/0.0.0.0 8:8 -d xx.xx.xxx.145 -p 1 -j DENY -A input -s 0.0.0.0/0.0.0.0 -d xx.xx.xxx.145 -p 1 -j ACCEPT , можно было бы не 8:8 DENY, а !8:8 ACCEPT, но ведь мало ли, вдруг и другие ICMP заткнуть придется(?)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх