|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: Росен Антонов |
Дата: 08/22/2003 |
Здравейте,
в не много опитната ми главица се зароди следната
концепция:
Имаме някакъв компютър. На него работи някакъв сървър
(някаква програма). За пример ще взема Самба! Тя обслужва
137, 138 и 139. Добре, това е прекрасно! Какво ще стане ако
затворя абсолютно всички портове с изключение на 137,138 и
139. Може би ще направя системата си непробиваема, като
единственото, за което трябва да се грижа е Самба-та да ми е
добре конфигурирана и да са и приложени последните пачове
против излезнали експлойти. Правя следното:
iptables -A INPUT -p tcp -dport 137 -j ACCEPT
iptables -A INPUT -p tcp -dport 138 -j ACCEPT
iptables -A INPUT -p tcp -dport 139 -j ACCEPT
iptables -A INPUT -j DROP
#може да има неточности, но пиша командите на сляпо.
И тук идва проблемът. Оказва се, че при размяна на файлове
със Самба-та, тя отваря "горни" портове за своите сесии. Да
речем порт 2010. Но аз съм забранил достъпа до всички
портове от 1 до 65ххх с изключение на 137, 138 и 139. Така
Самбата ми става безполезна.
Може ли да разбера мнението ви за тази концепция? От къде
започват тези портове, който се отварят произволно? Опасно
ли е те да бъдат оставени без наблюдение от iptables? Колко
състояния има един порт?
Благодаря!
|
Отговор #1 |
От: etg |
Дата: 08/23/2003 |
По-добре разреши всички портове и забрани само тия, на които
чака някоя програма. И на мен ми се наложи да си пренапиша
firewall-а заради самбата.
|
Отговор #2 |
От: King Nothing (nothing __@__ mail< dot >bg) |
Дата: 08/23/2003 |
Така затваряш всякакъв входящ трансфер освен през посочените
портове. Т.е. дори и машината ти да започне връзка с друга
било то HTTP-сесия или каквото и да е няма да стане нищо,
щото няма да получи отговор заради забраната на входящ
трафик. Опитай със:
iptables -A INPUT -p tcp --syn -j DROP
Това дропи само пакетите за инициализация на връзка отвън.
|
Отговор #3 |
От: ka |
Дата: 08/23/2003 |
mda taka ste si odreje6 sqkakyw trafik i samo horata ste
mogat da teglqt ot teb. a portowete deto se otwarqt
proizwolno sa nad 1024
|
Отговор #4 |
От: fallen |
Дата: 08/23/2003 |
Procheti za STATE,RELATED pravila.
Shte si reshish zadachata s tqh,.
|
Отговор #5 |
От: SGM (sgm< at >abv__dot__bg) |
Дата: 08/23/2003 |
tova, koeto ti e napisal King Nothing e prekrasno, no moje
da se zaobikoli. Kato s pravi tcp vraska parvo se izprashta
paket sas SYN flag i posle drugite paketi sa samo sas ACK.
sam mojesh da se dosetish che ako ti udarqt edin port scan,
koito da ne e default SYN scan-a na nmap shte ti vidqt
portovete. za tova procheti za states, kakto ti kaza i
fallen. to tova e ideqta na statefull firewall-a. apak za
zaglavieto, koeto si mu slojil - "Перфектен firewall" -
mislq che takova neshto nqma. ako ima to e da izvadish
jicata ot dupkata :)
Uspeh!
|
Отговор #6 |
От: Росен |
Дата: 08/24/2003 |
Благодаря!
Имам само още един въпрос: 1024 порт включва ли се към
портовете, които се отварят произволно? (Портовете от 0-лев
ли почват или от 1-ви?)
За сега смятам да забраня всички портове до 1024 без 137,
138 и 139. Така ще пробвам как работи Самба-та :о))! След
това ще чета за нещата, които ми казахте!
|
<< Защо сети пакетите обработжат GSM сигнал ? (7
) | Sound Volume (1
) >>
|
|
|
|
|