Изпечатай

[v13]

Искам да знам дали поредността на правилата във веригите е правилна. И дали тази защитна стена според вас е ефективна за обикновена десктоп машина. В правилата има добавени и три отворени порта за торенти.
Ето съдържанието на файла ми iptables.rules

Код

GeSHi (Bash):
# Generated by iptables-save v1.4.12 on Thu Jun  6 09:55:03 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [17:4185]
:TCP - [0:0]
:UDP - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 30/min --limit-burst 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
-A INPUT -p tcp -m recent --set --name TCP-PORTSCAN --rsource -j REJECT --reject-with tcp-reset
-A INPUT -p udp -m recent --set --name UDP-PORTSCAN --rsource -j REJECT --reject-with icmp-port-unreachable
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A TCP -p tcp -m recent --update --seconds 60 --name TCP-PORTSCAN --rsource -j REJECT --reject-with tcp-reset
-A TCP -p tcp -m tcp --dport 1234 -j ACCEPT
-A UDP -p udp -m recent --update --seconds 60 --name UDP-PORTSCAN --rsource -j REJECT --reject-with icmp-port-unreachable
-A UDP -p udp -m udp --dport 1234:1236 -j ACCEPT
COMMIT
# Completed on Thu Jun  6 09:55:03 2013

Ето и изхода от iptables -L

Код:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 30/min burst 8
DROP       icmp --  anywhere             anywhere             icmp echo-request
UDP        udp  --  anywhere             anywhere             ctstate NEW
TCP        tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN ctstate NEW
REJECT     tcp  --  anywhere             anywhere             recent: SET name: TCP-PORTSCAN side: source reject-with tcp-reset                                       
REJECT     udp  --  anywhere             anywhere             recent: SET name: UDP-PORTSCAN side: source reject-with icmp-port-unreachable                           
REJECT     all  --  anywhere             anywhere             reject-with icmp-proto-unreachable                                                                      
                                                                                                                                                                      
Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain TCP (1 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere             recent: UPDATE seconds: 60 name: TCP-PORTSCAN side: source reject-with tcp-reset
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1234

Chain UDP (1 references)
target     prot opt source               destination         
REJECT     udp  --  anywhere             anywhere             recent: UPDATE seconds: 60 name: UDP-PORTSCAN side: source reject-with icmp-port-unreachable
ACCEPT     udp  --  anywhere             anywhere             udp dpts:1234:1236

За съставянето на правилата е ползван наръчника за Arch Linux

[v13]

Чудя се дали е хубаво да се добави и едно правило за логване на някой неща. Бихте ли препоръчали някое правило за логване, за съответната защитна стена.
Ето това, което е от наръчника на Ubuntu не ми е много ясно как точно функционира.

iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

[morbid_viper]

изглежда правилата ще правят каквото искаш.

лично за мен вкарването в дневник на нещо от защитната стена е малко прекалено. каква точно полезна информация ще получиш, освен да разбереш, че си блокирал някой си в Таджикистан (например). наистина ли е важно това? за мен е загуба на ресурси.

[v13]

Интересува ме и дали ще има проблем с торентите заради правилото UDP-PORTSCAN. Вече изтествах програмата и не открих проблеми но все пак. Ползвам ktorrent, портовете, които са отворени са неговите. Не съм сигурен и дали трябва непременно да отварям всичките тези портове за торентите.
Понеже не е зададена конкретна верига за правилата за портовете, предполагам, че те ще важат за входащ и изходящ трафик ако примерно изходящата политика по подразбиране я направя DROP.
Струва ли си за обикновена десктоп машина всички политики да са DROP и после да се правят съответните разрешения?
Иначе за лога май си прав а и когато човек има съмнение за нещо много лесно може да провери на момента трафика си.

[v13]

...изтрито...

Редактирано, съгласно т. 1 от Правилата на форума.
bop_bop_mara