iptables: клиентские порты и безопасность

0

0

На сервере 1.2.3.4 крутится днс и почтовик.
Все последних версий.

Существует ли какая-либо опасность в том, чтобы в правилах,
разрешающих коннект с чужих почтовиков и днсов, не указывать именно клиентские порты моего сервера?

То есть, если вместо правила
iptables -A INPUT -p tcp -m multiport -s 0/0 --sport 25,53 -d 1.2.3.4 --dport 1024:65535 -j ACCEPT

указать упрощенное правило

iptables -A INPUT -p tcp -m multiport -s 0/0 --sport 25,53 -d 1.2.3.4 -j ACCEPT

то чем это может грозить безопасности сервера?

Ссылка

←	Безопасность в стили Мелкософт

Открытые порты, skylink

→

А по моему тут ничего не меняется кроме как разрешается коннект на порты ниже 1024. Вопрос не очень понятен тоже. И разве запросы обязательно идут с портов 25 и 53? Они вроде с любых портов клиента могут идти на твои 25 и 53.

~~qsloqs~~ ★★
(16.08.07 17:00:03 MSD)

Ответ на: комментарий от qsloqs 16.08.07 17:00:03 MSD

>Они вроде с любых портов клиента могут идти на твои 25 и 53.
Это понятно.Запросы с чужих клиентских портов на мои 25 и 53 сейчас меня не волнуют.

Вопрос в другом. Диапазон портов в моем правиле не указан(OUTPUT правило также без диапазона).
Это означает, что с любого ip с портов 25 и 53 можно получить доступ к любому моему порту. Ну ес-но, если на этом порту что-то запущено. У меня крутятся только почта и днс. Вроде бы ничего страшного, доступ к этим портам и так открыт.

Теперь предположим, что запущен sshd , закрытый для внешнего мира последующими правилами.
Получается, не указав именно клиентские порты в вышеуказанном правиле, я открываю доступ с чужих 25,53 портов к сервисам, которые должны быть закрыты.
А вот что дальше? Какие возможности открываются перед злоумышленниками в данной ситуации?
SShd может принимать/отвечать на запросы не с клиентских портов?

anonymous
(16.08.07 18:10:36 MSD)

Ответ на: комментарий от anonymous 16.08.07 18:10:36 MSD

iptables -A INPUT -p tcp -i $INTERFACE --dport 25,53 -j ACCEPT

Тоесть такое правило тебя не устраивает? Зачем ты с сурсами работаешь когда достаточно запретить всё и разрешить только то что надо.

~~qsloqs~~ ★★
(16.08.07 18:30:53 MSD)

Ответ на: комментарий от qsloqs 16.08.07 18:30:53 MSD

iptables -A INPUT -p udp -i $INTERFACE --dport 53 -j ACCEPT

К стати днс 53 порт это udp вроде а не tcp.

~~qsloqs~~ ★★
(16.08.07 18:32:54 MSD)

Ответ на: комментарий от qsloqs 16.08.07 18:32:54 MSD

>К стати днс 53 порт это udp вроде а не tcp.

Ага, если просто DNS, то достаточно 53 порт UDP, а 53 TCP --- это для передачи зоны. Думаю, что автору топика зону всем подряд раздавать не нужно...

mky ★★★★★
(16.08.07 22:52:50 MSD)

Ссылка

Ответ на: комментарий от anonymous 16.08.07 18:10:36 MSD

Что-то мне кажется, что у топикстартера в голове каша и топор торчит недоваренный. Запрети все входящие, разреши входящие для установленных соединений, разреши входящие на службы, которые раздаёшь (25 tcp, 53 udp), разреши исходящие. И больше не парься.

~~Lumi~~ ★★★★★
(17.08.07 13:32:37 MSD)

Ответ на: комментарий от Lumi 17.08.07 13:32:37 MSD

mky: спасибо за инфу про 53 tcp - упущено мной из виду.

Lumi: все это есть.
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p icmp -s 0/0 -d 1.2.3.4 -j ACCEPT
iptables -A OUTPUT -p icmp -s 1.2.3.4 -d 0/0 -j ACCEPT

iptables -A INPUT -p tcp -m multiport -s 0/0 -d 1.2.3.4 --dport 25,53,110 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport -s 1.2.3.4 --sport 25,53,110 -d 0/0 -j ACCEPT

*iptables -A INPUT -p tcp -m multiport -s 0/0 --sport 25,53 -d 1.2.3.4 -j ACCEPT
*iptables -A OUTPUT -p tcp -m multiport -s 1.2.3.4 -d 0/0 --dport 25,53 -j ACCEPT

iptables -A INPUT -p udp -s 0/0 -d 1.2.3.4 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s 1.2.3.4 --sport 53 -d 0/0 -j ACCEPT

*iptables -A INPUT -p udp -s 0/0 --sport 53 -d 1.2.3.4 -j ACCEPT
*iptables -A OUTPUT -p udp -s 1.2.3.4 -d 0/0 --dport 53 -j ACCEPT

Но в правилах, помеченных *, не указаны клиентские порты.
Насколько небезопасно так делать?

anonymous
(17.08.07 14:37:31 MSD)

Ответ на: комментарий от anonymous 17.08.07 14:37:31 MSD

Может быть лучше так?

iptables -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

iptables -A INPUT -p icmp -s 0/0 -d 1.2.3.4 -j ACCEPT iptables -A OUTPUT -p icmp -s 1.2.3.4 -d 0/0 -j ACCEPT iptables -A INPUT -p tcp -m multiport -s 0/0 -d 1.2.3.4 --dport 25,53,110 -j ACCEPT iptables -A OUTPUT -p tcp -m multiport -s 1.2.3.4 -d 0/0 --dport 25,53 -j ACCEPT iptables -A INPUT -p udp -s 0/0 -d 1.2.3.4 --dport 53 -j ACCEPT iptables -A OUTPUT -p udp -s 1.2.3.4 -d 0/0 --dport 53 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

~~Lumi~~ ★★★★★
(17.08.07 19:25:14 MSD)

Ответ на: комментарий от Lumi 17.08.07 19:25:14 MSD

Чёрт... извините за форматирование

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p icmp -s 0/0 -d 1.2.3.4 -j ACCEPT
iptables -A OUTPUT -p icmp -s 1.2.3.4 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -m multiport -s 0/0 -d 1.2.3.4 --dport 25,53,110 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport -s 1.2.3.4 -d 0/0 --dport 25,53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d 1.2.3.4 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s 1.2.3.4 -d 0/0 --dport 53 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

~~Lumi~~ ★★★★★
(17.08.07 19:25:51 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Безопасность в стили Мелкософт

Security

Открытые порты, skylink

→

Похожие темы