Помогите не остаться с голым задом новичку

0

0

Недавно совсем начал осваиваnm Linux...
Скоро подключусь к местной локалке, где традиционно полно всяких придурков, которым нечем заняться. Помогите написать правила, плз. До этого пользовался только pktfilter под Windows и в iptables пока не разобрался.

Поняно, хотелось бы максимально закрыться и оставить возможность только для установления соединений изнутри для традиционного набора служб: icq, http, ftp, pop, smtp, dns... надеюсь, что ничего не забыл.

хотелось бы запретить установление соединений tcp извне (проверка на бит syn). icmp по видимому тоже не нужны, udp наверное не нужен вообще (?), политика по умолчанию - deny.
Мой адресс х.х.х.х, адресс dns-сервера y.y.y.y, шлюз по умолчанию - n.n.n.n

Как кто пишет?
Буду благодарен за помощь, либо, если есть ссылка на готовое стандартное решение, то тоже было бы здорово (сам пока ничего найти не смог)

Ссылка

←

типы icmp

Проблема с NAT

→

Самый простой способ:
iptables -A INPUT -i eth0 -m state --state NEW -j DROP
если у вас должны будут использоваться некоторые сервисы, то дополнительно открыть доступ к ним. Например ssh:
перед приведенной выше командой добавить:
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

spirit ★★★★★
(25.02.05 16:15:49 MSK)

Ответ на: комментарий от spirit 25.02.05 16:15:49 MSK

У меня сейчас именно так (всмысле я в локалке). Дак я просто всё что не надо позакрывал и всё - ни каких проблем - тоесть у меня в локалку ничего лишнего не смотрит ... И никаких проблем пока не было... Да вообше не надо ставить проблему так остро...В принципе ИМХО уровень тех кто дистр собирал наверно выше того кто в локалке обитает(хотя эксплоиты)...

The_Ketchup ★★
(25.02.05 23:03:00 MSK)

Ответ на: комментарий от The_Ketchup 25.02.05 23:03:00 MSK

>Да вообше не надо ставить проблему так остро..

меня оди раз подломили, теперь как ппаранойа... и я считаю, что оправданная :-/

Вообще начал потихоньку вникать... скоро напишу...

anonymous
(26.02.05 12:14:50 MSK)

Ответ на: комментарий от anonymous 26.02.05 12:14:50 MSK

Политика по умолчанию на всех цепочка должны быть drop, а дальше разрешать что нужно. udp на 53 порт тоже нужен - это DNS.

anonymous
(28.02.05 11:51:23 MSK)

Ответ на: комментарий от anonymous 28.02.05 11:51:23 MSK

> Политика по умолчанию на всех цепочка должны быть drop
Скорее не на ВСЕ, а только на INPUT и FORWARD таблицы filter (не вижу смысла ставить DROP на -t filter OUTPUT, и тем более на цепочки других таблиц).

spirit ★★★★★
(28.02.05 13:44:45 MSK)

Ссылка

Ответ на: комментарий от anonymous 28.02.05 11:51:23 MSK

>Политика по умолчанию на всех цепочка должны быть drop

Народ мы же не сервер в инете настрайваем - зачем так круто то ?

The_Ketchup ★★
(28.02.05 17:14:16 MSK)

Ссылка

Все политики на DROOP Входящие открыть только при наличии сервера на Вашей машине с разрешениями только избранным На исходящие сервисы DNS, POP3, SMTP, FTP, SSL, HTTP + то чем пользуетесь + зона для соединений порты от 1024> я обычно задаю до 4500..

anonymous
(14.03.05 12:24:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

типы icmp

Security

Проблема с NAT

→

Похожие темы