LINUX.ORG.RU
ФорумSecurity

насколько безопасно сидеть напрямую через L2TP

 , , ,


0

1

поскольку мой роутер не тянет 500 мбит/сек я подключаюсь к провайдерскому L2TP напрямую через KDE, вот так это выглядит https://i.imgur.com/zUuf2VN.png

если я запускаю команду

firewall-cmd --zone=public --list-ports

то мне показывает только те порты которые я открывал командой

firewall-cmd --zone=public --add-port 66666/tcp

вывод команды firewall-cmd --zone=public --list-ports примерно такой

66666/tcp 77777/tcp 88888/tcp 99999/tcp 00000/udp

ко мне никто не залезет или я всё-таки что-то забыл и всё ещё сижу в интернет голым задом? онлайн-сканеры портов ничего не нашли, но они сканируют либо популярные порты, либо по одной штучке за раз, либо малыми диапазонами.


Как защитить десктопный debian?
Selinux маркировка

Ответ на: комментарий от vvvv

разумеется есть, именно для его предоставления и нужен l2tp, без l2tp выдаётся серый айпи. поэтому я и спрашиваю верно ли я настроил фаервол или чего-то забыл и я доступен для всех сканеров.

a__
() автор топика

они сканируют либо популярные порты, либо по одной штучке за раз, либо малыми диапазонами.

Мой нубский совет: запустить какое-нибудь приложение, слушающее какой-нибудь порт, и просканировать этот порт изнутри и снаружи. Затем открыть порт на фаерволле и просканировать еще раз. Сравнить результат и сделать выводы о работе фаерволла.

newbie24
()

В линуксе по умолчанию ничего на публичном интерфейсе не висит, а если висит, то оно по умолчанию защищено. Исключение только ssh, который не следит за сложностью паролей. Поэтому если ты не делаешь глупые вещи, защищать себя дополнительно фаерволом не обязательно.

66666/tcp

Это что-то странное, порты не бывают больше 65535.

vbr ★★★★
()
Ответ на: комментарий от newbie24

да, когда сделал

sudo firewall-cmd --zone=public --remove-port 66666/tcp

то действительно порт стал закрытым для онлайн-сканера. наверное можно сделать вывод что фаервол действительно работает.

a__
() автор топика
Ответ на: комментарий от shell-script 
$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
a__
() автор топика
Ответ на: комментарий от a__

Лучше сидеть через роутер с хорошим сетевым экраном и проксею проверяющей ВЕСЬ входящий трафик на вирусы.

По поводу «хорошего сетевого экрана»:

  1. Фильтрация пакетов по принадлежности к сессии. Блокирование вирусных пакетов и их источников.
  2. Для Linux таблицы filter и raw по умолчанию должны ВСЕ запрещать.
  3. Открывать в input и forward только самый необходимый минимум для таблиц filter и raw.
  4. Открывать в output только самый необходимый минимум включая фильтрацию по пользователям для таблиц filter и raw.
  5. Использовать IDS и DPI для анализа проходящего сетевого трафика.
anonymous
()
Ответ на: комментарий от anonymous

Ошибся, в таблице raw фильтровать надо цепочки output и prerouting. Таблица raw отфильтрует туннели.

# iptables -t filter -L
Chain INPUT (policy DROP)
...
Chain FORWARD (policy DROP)
...
Chain OUTPUT (policy DROP)
...
# iptables -t raw -L
Chain OUTPUT (policy DROP)
...
anonymous
()

в общем решил сделать костыль - сделал баш-скрипт на роутере

 function check_connectivity() {

    local test_ip
    local test_count

    test_ip="8.8.8.8"
    test_count=1

    if ping -c ${test_count} ${test_ip} > /dev/null; then
       echo "Have internet connectivity"
    else
       echo "Do not have connectivity"
        sleep 5
        ifdown НАЗВАНИЕ_ПОДКЛЮЧЕНИЯ_ЧЕРЕЗ_L2TP
        sleep 5
        ifup НАЗВАНИЕ_ПОДКЛЮЧЕНИЯ_ЧЕРЕЗ_L2TP
    fi
 }

 check_connectivity

и сунул в кронтаб чтобы каждые 30 секунд запускалось. так что напрямую я больше в интернете не сижу.

a__
() автор топика
Как защитить десктопный debian?
Security
Selinux маркировка