LINUX.ORG.RU

Поясните по IPTable`у plzzz


0

0

Господа ...
 Ну ни как я не пойму ... зачем использовать таблицу OUTPUT ...
 Я вот делаю сейчас так:
  INPUT DROP
  OUTPUT ACCEPT
  FORWARD DROP

даллее разрешаю все что надо в таблице INPUT и FORWARD ... а таблицу OUTPUT оставляю без изменений ...
 спрашивается:  зачем вносить в нее изменения ... не уж-то блокировать то что идет с моего сервера на ружу? а зачем .. не доверять своему-же серверу со своими-же прогами ... или трояна боятся?


разъясните  plzz 

Или вот еще вопросик ...
 по чему не идут ping`и на ранее не известные хосты (по которым соотвествие ip - dns еще не изветно) с таким вот правилом:

#! /bin/sh
#
#	Настройка firewall
#
case "$1" in
'stop')
 iptables -F
 ;;
'start')
 ext_ip='195.122.240.23/32'
 int_ip='192.168.1.1/32'
 local_network='192.168.1.0/24'
# разрешаем форвардить пакеты ...
  echo 1 > /proc/sys/net/ipv4/ip_forward
# устанавливаем политику для правил ...
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
  iptables -P FORWARD DROP
# сбрасываем все цепочки ...
  iptables -F
# разраешаем все icmp запросы
  iptables -A INPUT -p icmp -s 0/0 -j ACCEPT
# разрешить все с этого сервера
  iptables -A INPUT -s 127.0.0.0/255.0.0.0 -j ACCEPT
  iptables -A INPUT -s $int_ip -j ACCEPT
  iptables -A INPUT -s $ext_ip -j ACCEPT
# разрешить все из локальной сети
  iptables -A INPUT -s $local_network -j ACCEPT
# разрешить все что надо из InetNet`а
  for port in 21 22 25 53 80 110 123 143 389 3306 5222
  do
   iptables -A INPUT -s 0/0 -p tcp --dport $port -j ACCEPT
   iptables -A INPUT -s 0/0 -p udp --dport $port -j ACCEPT
  done
 ;;
*)
 echo "usage $0 start|stop"
esac

Кто скажет?

galchyonok ★★
() автор топика

Слушай, galchyonok, сколько ты не пишешь, все время - Preformatted text...

Ну неудобно же читать!

fagot ★★★★★
()

> Ну ни как я не пойму ... зачем использовать таблицу OUTPUT ...
Ну это кому как :-)
Для примера:
1) у тебя есть сервер с доступом в inet и есть куча user-ов, ты хочешь, чтоб они лазили через squid, которым ты им либо канал порежешь, либо запреты на разные файлы выставишь, etc, но они ведь могут запросто лазить напрямую. Вот для этого можно в OUTPUT запретить им прямой выход наружу (с помощью модуля owner).
2) ты хочешь считать in/out traffic служб сервера, а как это сделать, если нет соответствующих правил ? Соответственно в OUTPUT добавляются нужные правила.

> "не доверять своему-же серверу со своими-же прогами"
а ты точно уверен в стабильности, недырявости и 100% правильной настройке всего используемого софта ? :-))

spirit ★★★★★
()
Ответ на: комментарий от spirit

>>> "не доверять своему-же серверу со своими-же прогами" >> а ты точно уверен в стабильности, недырявости и 100% правильной >> настройке всего используемого софта ? :-)) конечно нет ...

Так ни кто и не сказал что не правильно в правилах, и почему не идут ping`и на новые неизвестные хосты ... ????

galchyonok ★★
() автор топика
Ответ на: комментарий от watashiwa_daredeska

хмм ... логично ....

а почему? порты dns`а открыты .....

кстати .. при тамком правиле, так-же долго отрабатывает: iptables -L

судя по всему dns ... но вот почему .....

galchyonok ★★
() автор топика
Ответ на: комментарий от galchyonok

OUTPUT - таблица, по правилам которой происходит фильтрация пакетов, исходящих непосредственно от приложений сервера. И фильтровать политикой DROP надо обязятельно, так как в случае взлома одного из сервисов (www, sendmail, pop, ftp) поднимается шелл на каком-нибудь порту и в ход идут уже локальные эксплоиты, если же используются консервативные правила брандмаузра, то есть INPUT, FORWARD, OUTPUT с политикой DROP, то все зависит от количества служб, для которых нужно писать допускающие правила (как правило чем меньше служб тем лучше) Так что лучше включить опцию LOG и настроить правила как следует ...

x97Rang ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.