[iptables],[паранойя]Посоветуйте политику по умолчанию

0

2

Доброго, господа.

Я внезапно задумался, а имеет ли смысл делать полиси DROP для всех цепочек?

Вернее вопрос таков, правильно ли я понимаю, что если я сделаю дефолт полиси DROP для всех цепочек, то в каждой из чейнов всех таблиц, через которые проходит пакет, мне будет нужно явно разрешать ACCEPT для того же, к примеру, форвардинга?

Правильно ли я понимаю, что традиционно принято оставлять АССЕРТ как дефолт, а в нужной цепочке дропать неугодные пакеты? Не чешет ли подобный подход вашу паранойю?

С благодарностью прочитаю мнения уже думавших об этом и принявших решение.

В принципе в итоге все равно 99,9 трафика будет идти через сквид, но пока без него, да и чисто теоритически, повторюсь, интересно.

Ссылка

←	iptraf не видит eth0

[xen4.1] Несколько вопросов новичка.

→

> Я внезапно задумался, а имеет ли смысл делать полиси DROP для всех цепочек?

Только для инпута.

Igron ★★★★★
(19.07.11 05:08:18 MSK)

>Правильно ли я понимаю, что традиционно принято оставлять АССЕРТ как дефолт, а в нужной цепочке дропать неугодные пакеты?

я так делаю только в filter/OUTPUT, ну и в mangle/*, nat/* и raw/*. Все остальные цепочки, где ФИЛЬТРУЕТСЯ трафик - безжалостный DROP.

Pinkbyte ★★★★★
(19.07.11 08:51:31 MSK)

Ссылка

Ответ на: комментарий от Igron 19.07.11 05:08:18 MSK

и для форварда, не?

Pinkbyte ★★★★★
(19.07.11 08:51:42 MSK)

Ответ на: комментарий от Pinkbyte 19.07.11 08:51:42 MSK

>и для форварда, не?

Смотря чем коробка занимается.

aidaho ★★★★★
(19.07.11 09:41:35 MSK)

Ссылка

Если на серваке - то однозначно DROP или REJECT по дефолту. Но только если уверен в прямоте своих рук.

Я еще делал LOG (чтобы логи писали) на все порты кроме тех, что я знаю что точно нужно дропать. Но тут на твое усмотрение, так как может засыпать сообщениями, особенно если тебя часто сканят.

Kroz ★★★★★
(19.07.11 10:06:19 MSK)

Ссылка

(Я так понимаю, на рутере) Если сетка небольшая с вменяемыми пассажирами - то все акцепт + дропы по вкусу (чтобы самому по забывчивости не влезть куда не надо). Если же сеть из космонавтов в скафандрах (бухгалтерии всякие), то в акцепт только аутпут и, может быть, инпут, форвард в безжалостный дроп, внутренний инпут в реджект, и скрупулёзные акцепты.

~~berrywizard~~ ★★★★★
(19.07.11 10:39:13 MSK)

Ответ на: комментарий от berrywizard 19.07.11 10:39:13 MSK

> внутренний инпут в реджект

и внутренний форвард тоже

~~berrywizard~~ ★★★★★
(19.07.11 10:40:29 MSK)

Ссылка

Я себе на домашний сервер выставил DROP для INPUT, FORWARD.
OUTPUT - ACCEPT.
Главное не забыть про открытые соединения изнутри.

Deleted
(19.07.11 15:11:05 MSK)

Ссылка

Чтобы чувтствовать себя как в танке, по идее этого достаточно:
[code]
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
[/code]

DROP по дефолту сильно нагрузит промежуточные роутера.

Slavaz ★★★★★
(19.07.11 15:28:07 MSK)

Ответ на: комментарий от Slavaz 19.07.11 15:28:07 MSK

>DROP по дефолту сильно нагрузит промежуточные роутера.

Можно с этого места поподробнее?

anonymous
(20.07.11 07:44:24 MSK)

Ответ на: комментарий от anonymous 20.07.11 07:44:24 MSK

Имел ввиду NATированный трафик - на шлюзе в состоянии SYN будут продолжать висеть пакеты. Впрочем, это нагрузит шлюз того хакира, который пытается DoS'ить; или если собственный шлюз пробрасывает порты на DMZ-хост, то он тоже поднапряжётся.

Slavaz ★★★★★
(20.07.11 11:44:05 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	iptraf не видит eth0

Admin

[xen4.1] Несколько вопросов новичка.

→

Похожие темы