логи попыток взлома, сканирований

0

0

ASPLinux 7.2 "Защита" построена на ipchains (до iptables еще надо расти;). Каким способом можно заставить syslog или другую вещь писАть сабж?

За советы апргейдить оську, менять дистр, учить iptables, выравнивать руки - заранее благодарен! :-)

Ссылка

←	Вопрос по CryptoAPI

Postfix_sasl

→

поставить любуюь IDS (систему регистрации попыток взлома). Рекомендую http://www.snort.org/

anonymous
(21.09.03 00:48:44 MSD)

Ссылка

> до iptables еще надо расти

учить iptables? если ты уже знаешь ipchains, то поменять все на iptables можно за 5 минут. Особенно, если твой компьютер не используется как маршрутизатор.

anonymous
(21.09.03 08:23:30 MSD)

Ответ на: комментарий от anonymous 21.09.03 08:23:30 MSD

> если ты уже знаешь ipchains,

Хотелось бы так думать, то есть надеюсь что знаний достаточно для построения элементарной защиты, если ipchains можно называть защитой...

> то поменять все на iptables > можно за 5 минут.

С чего посоветуете начать?

> Особенно, > если твой компьютер не > используется как маршрутизатор.

На машине только сквид и сендмыл. Дайте пожалуйста советы касательно перехода с ipchains на iptables.

Efes ★
(21.09.03 20:38:24 MSD) автор топика

Ссылка

portsentry

Можно еще iplog поставить, чтобы самому все наглядно видеть...

anonymous
(22.09.03 13:12:48 MSD)

Ссылка

>На машине только сквид и сендмыл. Дайте пожалуйста советы касательно перехода с ipchains на iptables Читать http://www.opennet.ru/docs/RUS/iptables/ вдумчиво и внимательно. Потом за 5 минут перейдешь.

DiBrain ★
(23.09.03 13:32:23 MSD)

Ответ на: комментарий от DiBrain 23.09.03 13:32:23 MSD

Ну вот... перешел на iptables... Правила типа iptables -A INPUT -s 211.194.117.171 -j REJECT (отсекание спамеров) работают нормально. Это при политике ACCEPT. А вот когда ставлю политику DROP iptables -P INPUT DROP то не работают правила позволения, например iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT eth0 у меня внутренний интерфейс, вроде бы должно быть позволение на отсылку почты изнутри сети, но не работает. Политики FORWARD и OUTPUT тоже ACCEPT. В чем тут дело?

Efes ★
(24.09.03 12:43:25 MSD) автор топика

Ответ на: комментарий от Efes 24.09.03 12:43:25 MSD

ДУмаю, что надо поиграться с состояниями соединений...
Мне кажется, что при таком правиле, обратные пакеты пройти не
смогут.

Что-то типа:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

anonymous
(25.09.03 12:00:56 MSD)

Ссылка

Ответ на: комментарий от Efes 24.09.03 12:43:25 MSD

Ты помни, что кроме 25 порта надо разрешить порты от 1024 и выше.

Есть хорошая книга "Брандмауеры в Linux" - хотя там про ipchains, но

принципы годятся и для iptables.

Я сижу в ASPLinux 9.0 - по умолчанию у меня все запрещено при помощи

iptables разрешил что надо (кстати icmp не разрешал, но у меня рабочая

станиця, а для сервера некоторые icmp-пакеты стоит разрешить).

iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT iptables -A INPUT -p tcp -i eth0 --sport 80 -j ACCEPT ... iptables -A OUTPUT -p tcp -s X.X.X.X --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp -s X.X.X.X --sport 80 -j ACCEPT ... В таком духе...

anonymous
(06.10.03 17:05:57 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Вопрос по CryptoAPI

Security

Postfix_sasl

→

Похожие темы