|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 07 Jul 2004 15:20:07
To : Eugene B. Berdnikov
Subject : Re: чудеса с маскарадингом
--------------------------------------------------------------------------------
Eugene B. Berdnikov wrote:
> AO> # Delete old iptables rules and temporary block all traffic
> AO> iptables -P OUTPUT DROP
> AO> iptables -P INPUT DROP
> AO> iptables -P FORWARD DROP
>
> Лишнее.
Hапротив. Это стандартная преамбула для корректной установки. Хотя
правильнее просто заинсертить дропы первым номером в фильтровых цепочках
чтобы в явном виде по счетчикам судить о срабатывании в случае разборок.
> AO> # Anything coming from Internet should have a real Internet address
> AO> iptables -A FORWARD -i eth1 -s 192.168.0.0/16 -j DROP
> AO> iptables -A FORWARD -i eth1 -s 172.16.0.0/12 -j DROP
> AO> iptables -A FORWARD -i eth1 -s 10.0.0.0/8 -j DROP
> AO> iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
> AO> iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
> AO> iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
>
> Тоже лишнее. Проще внести единичку в rp_filter на eth1, и отдыхать.
Опять же нет. Сейчас самая типичная ситуация когда аплинки строятся с
прохожением через промежуточные транспортные сети с приватными адресами как
в туннелях, так и в натуральном виде. Поэтому надо организовывать
избирательную фильтрацию. Хотя чисто методически это надо строить или с
анализом примыкающих ip или просто по списку из настроек, которые уже
править ручками.
> AO> iptables -A OUTPUT -p tcp --sport 137:139 -o eth1 -j DROP
> AO> iptables -A OUTPUT -p udp --sport 137:139 -o eth1 -j DROP
>
> Hа файрволе что-то виндовое живёт? Жабой удавить. :)
Может еще и второй сервер подарить ? ;) Просто надо самбу биндить только ко
внутренним адресам/интерфейсам.
> AO> # Allow local loopback
> AO> iptables -A INPUT -s $LOOP -j ACCEPT
> AO> iptables -A INPUT -d $LOOP -j ACCEPT
>
> Проще один раз -i lo.
Проще сразу разветвить весь файрвол по интерфейсам. Такое строение позволит
их независими поднимать, опускать, блокировать и проч.
> AO> # Allow incoming pings
> AO> iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
> AO>
> AO> # Allow services such as ssh, www etc.
> AO> iptables -A INPUT -p tcp --dport ssh -j ACCEPT
> AO> iptables -A INPUT -p tcp --sport 20 -j ACCEPT
>
> Зачем ftp на файрволе? Унести ftpd на другую машину, а это - в FORWARD.
Опять же. Почему сразу то ? И чем ftp на файрволе менее защищен чем ftp
внутри сети или напротив более ? Какая разница то ?
Т.е. это уже придирки, imho.
> AO> # Keep state of connections from local machine and private subnets
> AO> iptables -A OUTPUT -m state --state NEW -o eth1 -j ACCEPT
>
> Лишнее, там же policy=accept.
Фильтрация на OUTPUT с собственного сервера это вообще лишнее. Все равно что
от себя самого прятать спиртное. ;)
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: чудеса с маскарадингом 
