Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Gleb Smirnoff                        2:5020/400     19 Jun 2001  13:35:19
 To : All
 Subject : Re: secur
 -------------------------------------------------------------------------------- 
 
 Iliya Petrusenko <ilushka@akela.inc.ru> wrote:
 
 >> > Еще вопрос: имеет-ли смысл использовать на машине локальный firewall?
 >> Конечно имеет. Сразу все проблемы с перекрытием mysql и прочего
 >> отпадут.
 >>
 > 
 > Угу...
 > Hапомню задачу:
 > Машина с веб-сервером, наружу порты 80 и 22, для конкретного ip-адреса
 > (webmaster) ФТПЯ.
 > 
 > В ядре опция TCP_RESTRICT_RST - правильно?
 
 Сейчас ее убрали в 4.3-STABLE. При желании можно и без нее обойтись.
 Если фпйерволл не пропускает SYN на закрытые порты, то машина RST
 выплевывать не будет.
 
 > Опция TCP_DROP_SYNFIN вроде как не рекомендуется для веб-сервера?
 > Я правильно понимаю, что эта опция не пропускает пакеты с установленными
 > флагами начала и конца пакета?
 
 :) У каждого пакета есть начало и конец.
 DROP_SYNFIN означает игнорировать TCP пакеты с флагами начала и конца
 _соединения_. Почему не рекомендовано web-серверам, хоть убей, не понимаю.
 Hо это должно быть объяснено в RFC1644. Имхо никто его не юзает.
 У меня www отлично работает с drop_synfin&
 
 > Hабросок правил (поправьте, если что не так):
 > 
 > # Антиспуфинг
 > pass all from any to any via lo0
 > deny all from any to 127.0.0.0/8
 > # Доступ к ДHС серверу
 > pass udp from ip_адрес_моего_сервера to ip_адрес_dns_сервера 53
 > pass udp from ip_адрес_dns_сервера 53 to ip_адрес_моего_сервера
 > # Убиваем фрагментированные ICMP
 > deny icmp from any to any frag
 > pass icmp from any to any
 > # Разрешаем подключение к HTTPD и SSH
 
 С этого места лучше немного переделать.
 allow tcp from any to any established
 allow tcp from my_ip to any setup
 allow tcp from any to my_ip 22,80 setup
 allow tcp from webmaster_ip to ip 21 setup
 
 # если вебмастер захочет пассив-фтп
 allow tcp from webmaster_ip to ip 4999-65536 setup
 deny log all from any to any
 
 И не забудь раздать правилам номера
 в возрастающем порядке.
 
 -- 
 Totus tuus, Glebius.
 GTB-RIPE
 --- ifmail v.2.15dev5
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 secur   Iliya Petrusenko   18 Jun 2001 21:37:54 
 Re: secur   Gleb Smirnoff   18 Jun 2001 22:16:45 
 Re: secur   Iliya Petrusenko   18 Jun 2001 22:59:54 
 Re: secur   Gleb Smirnoff   18 Jun 2001 23:12:28 
 Re: secur   Andrey V. Pevnev   19 Jun 2001 10:00:26 
 Re: secur   Iliya Petrusenko   19 Jun 2001 12:46:39 
 Re: secur   Gleb Smirnoff   19 Jun 2001 13:35:19 
 Re: secur   Iliya Petrusenko   19 Jun 2001 14:11:51 
 Re: secur   Kirill Ponomarew   19 Jun 2001 17:41:23 
 secur   Alex Semenyaka   21 Jun 2001 00:38:20 
Архивное /ru.unix.bsd/6577b7ef0e55.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional