|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Љ § 楢 Ђ«ҐЄбҐ© 2:5020/400 29 Dec 2004 15:04:21
To : …. Љ®ў «м
Subject : Re: UDP и iptables
--------------------------------------------------------------------------------
Е. Коваль пишет:
>>Хм. Поторопился.
>>Хотелось следующего: настроить iptables один раз так, чтобы потом,
>>независимо от установленных пакетов и открытых ими портов, никто никогда
>>не смог бы вломиться не подменяя ip. При этом можно пожертвовать
>>активным ftp клиентом.
>
> ----------------------------------------------------
> думаю, что достаточно запретить установку тсп-соединений на все порты, кроме
> тех, на которых подняты сервисы.
> iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT - разрешить обращение к
> веб-серверу
> ...
> iptables -A INPUT -p tcp --syn -j LOG
> iptables -A INPUT -p tcp --syn -j REJECT - все остальное запрещаем
>
> ну и обращения к юдп можно ограничить, но это зависит от того, чем
> занимается этот сервер.
> В общем, не надо фанатизма, разумная достаточность, ломают в 99% случаев
> из-за
> глупости типа непропатченного wu-ftpd :)
Это сервер для одного хоста. Он же inet-клиент. В лабе стоит. Поскольку
нынче в ВУЗах денег не шибко много, приходиться одной машиной для всего
пользоваться, а там результаты работы лет за 7 последних.
Казанцев Алексей.
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
