LINUX.ORG.RU

Вопрос знатокам iptables


0

0

Есть роутер на Ubuntu Server 10, сервисов смотрящих в Интернет нет, на нем крутится самба смотрящая в локалку, сквид (НЕ транспарент)-раздающий доступ к www ресурсам в интернете, и нат (сделаный -j SNAT) поднятый на портах 53, 465,995 (почта gmail в локалке).

Вопрос чисто академический: Являются ли правила для INPUT, разрешающие исключительно ESTABLISHED и RELATED, при политике DROP, достаточными для защиты?

На всякий случай еще и на FORWARD то же самое наворотил (кажется лишним): в направлении локалка-интернет NEW ESTABLISHED RELATED, в обратном только ESTABLISHED RELATED, политика по умолчанию DROP....

OUTPUT оставить в покое? или тоже фильтровать? Просто ума не приложу зачем... Прошу объяснений...

Еще один вопрос вдогонку и не по теме, как определить какие сервисы поднятые на роутере реально нужны? ps aux выдал 86 процессов.... как-то лень по поводу каждого лезть в сеть и искать что делает эта хрень.. Есть ли какой нить список Процесс - его работа?

Спасибо.



Последнее исправление: AAA (всего исправлений: 1)

Все правильно сделал.

Хотя для пущей правильности можно ограничить исходящие из локалки пакеты в форварде только разрешенными портами.

Т.е. вместо

в направлении локалка-интернет NEW ESTABLISHED RELATED

я бы сделал разрешения только для нужных портов.

В остальном все правильно.
OUTPUT фильтруют в основном параноики, боящиеся бэкдоров. В принципе, можешь тоже так сделать: разрешить OUTPUT только для --uid-owner squid и для ESTABLISHED RELATED.

nnz ★★★★
()
Ответ на: комментарий от nnz

>в направлении локалка-интернет NEW ESTABLISHED RELATED я бы сделал разрешения только для нужных портов. ---- само собой))

В принципе, можешь тоже так сделать: разрешить OUTPUT только для --uid-owner squid и для ESTABLISHED RELATED. --- Ух ты.., посмотрю/сделаю), спасибо)...

AAA
() автор топика
Ответ на: комментарий от Nao

Спасибо огромное, и еще чуть)

Короче вот: 1.разрешить OUTPUT только для --uid-owner squid и для ESTABLISHED RELATED 2. DNS нужно разрешить как минимум.

И все.

А если открыть пару портов для удаленного управления: Например openvpn и непубличного(с двух-трех определенных ip) ftp, стоит ли фильтровать output? И является ли методика блокирования пакетов new достаточной для вот таких машин(офисный шлюз без интернет сервисов)?

AAA
() автор топика
Ответ на: Спасибо огромное, и еще чуть) от AAA

Фильтрование OUTPUT, это фильтровка траффика сгенерированного самой системой.
Если у вас самой системой посылается какой-то «левый» трафик, то это значит что, допустим, злоумышленник уже получил какого-то рода доступ к системе (возможно под непривилегированном аккаунтом или как-то ещё ограниченно). Т.е. у вас уже что-то не так =)

Фильтровка OUTPUT конечно будет ему помехой, но не думаю что сильной.
Хотя, например, фильтровка OUTPUT позволит оградить от локального (не-root) пользователя внутрненнюю сетку...
Думаю руту тоже можно разрешить выход в сеть, т.к. он в любом случае всегда может поменять правила iptables.

ftp

тут главное чтобы conntrack корректно распозновал ftp data соединение как RELATED.
Если мне не изменяет память, то для этого достаточно подгрузить ядерный модуль nf_conntrack_ftp.
И соответственно разрешить RELATED соединения в INPUT и OUTPUT.

И является ли методика блокирования пакетов new достаточной

Наращивать секьюрность можно практически бесконечно. Главное чтобы цель оправдывала средства, время и удобства.

Nao ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.