| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Denial_of_service
Зарегистрирован: 03.10.2002
Сообщения: 36
|
 Добавлено: Вт Окт 22 2002 10:22 Заголовок сообщения: Головоломка: что еще, кроме 80-го tcp и 53-го udp, надобно открыть в строгом файрволле, чтобы можно было снимать ввв-страницы с |
 |
|
RedHat Linux 7.1
Я пишу в файрволльном скрипте:
ipchains -F
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
#Разрешаем 80-й порт from any to any
ipchains -A input -s 0/0 80 -d 0/0 -p tcp -j ACCEPT
ipchains -A input -s 0/0 -d 0/0 80 -p tcp -j ACCEPT
ipchains -A output -s 0/0 80 -d 0/0 -p tcp -j ACCEPT
ipchains -A output -s 0/0 -d 0/0 80 -p tcp -j ACCEPT
#Потом делаем то же самое для 53 и порт udp
(...)
Результат: из ЛАНа компутеры ходят по всему инету (в ИЕксплорере) нормально - ибо сей компутер есть и шлюз, и ввв-сервер. При попытке снять веб-сайт этого самого сервака из внешнего мира:
>>telnet 134.23.4.25 80 |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Окт 22 2002 11:40 Заголовок сообщения: Мдя... (+) |
|
|
Умная позиция.
Сперва все запрещаем.
ipchains -P input DENY
А потом кое-что разрешаем. После чего удивляемся, а почему, собственно не работает?
Правильный ответ:
ipchains -P input DENY и т.п. запреты надо ставить после того, как перечислил разрешенные порты. Инами словами "Запрещаем все, что не разрешено".
Ну и еще одна подсказочка: разреши порты выше 32000 до 64000 хотя бы. А то свободных портов для обработки клиентов нетути.
Рекомендую книжку "Брандмауэры в Линух". |
|
| Вернуться к началу |
|
|
Denial_of_service
Зарегистрирован: 03.10.2002
Сообщения: 36
|
| Добавлено: Вт Окт 22 2002 14:49 Заголовок сообщения: IMHO, policy DENY - не есть правило, и потому совершенно все равно, после чего мы скажем ipchains -P input DENY. (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
Denial_of_service
Зарегистрирован: 03.10.2002
Сообщения: 36
|
| Добавлено: Вт Окт 22 2002 16:42 Заголовок сообщения: А вот что касается "старших" портов ... похоже, что вы правы, Andrew! Merci beaucoup!! (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
nktn
Гость
|
| Добавлено: Вт Окт 22 2002 17:18 Заголовок сообщения: Re: Мдя... (+) |
|
|
Небольшое уточнение - политика по умолчанию всегда устанавливается первыми строчками, а на соответствие с ней пакеты проверяются в самом конце, если они не попадают под действие других правил. Это ipchains так работает.
Для работы www (клиент) надо разрешить output с портов 1024:65535 на порт 80 (tcp). Input, соответственно, наоборот, но с флагом ! -y (т.е. соединение только по нашей инициативе)
Для работы DNS надо разрешить output с портов 1024:65535 на порт 53 DNS-сервера (udp, tcp). Input аналогично предыдущему пункту (для udp конечно без флага).
Ну и, естественно, не забываем про forward с маскировкой и правила на внутреннем интерфейсе (если это брандмауэр) |
|
| Вернуться к началу |
|
|
gfh
Зарегистрирован: 23.10.2002
Сообщения: 1
Откуда: Sochi
|
| Добавлено: Ср Окт 23 2002 13:30 Заголовок сообщения: Re: Мдя... (+) |
|
|
| А насчет протокола https через 443 порт забыли? |
|
| Вернуться к началу |
|
|
nktn
Гость
|
| Добавлено: Ср Окт 23 2002 14:11 Заголовок сообщения: Re: Мдя... (+) |
|
|
| А оно вам надо? По-моему, вещь слишком специфичная и в реальной жизни применяется нечастою |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
