Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: v13 в Jun 06, 2013, 10:13


Титла: Въпрос за iptables
Публикувано от: v13 в Jun 06, 2013, 10:13
Искам да знам дали поредността на правилата във веригите е правилна. И дали тази защитна стена според вас е ефективна за обикновена десктоп машина. В правилата има добавени и три отворени порта за торенти.
Ето съдържанието на файла ми iptables.rules
Код
GeSHi (Bash):
  1. # Generated by iptables-save v1.4.12 on Thu Jun  6 09:55:03 2013
  2. *filter
  3. :INPUT DROP [0:0]
  4. :FORWARD DROP [0:0]
  5. :OUTPUT ACCEPT [17:4185]
  6. :TCP - [0:0]
  7. :UDP - [0:0]
  8. -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  9. -A INPUT -i lo -j ACCEPT
  10. -A INPUT -m conntrack --ctstate INVALID -j DROP
  11. -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 30/min --limit-burst 8 -j ACCEPT
  12. -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
  13. -A INPUT -p udp -m conntrack --ctstate NEW -j UDP
  14. -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
  15. -A INPUT -p tcp -m recent --set --name TCP-PORTSCAN --rsource -j REJECT --reject-with tcp-reset
  16. -A INPUT -p udp -m recent --set --name UDP-PORTSCAN --rsource -j REJECT --reject-with icmp-port-unreachable
  17. -A INPUT -j REJECT --reject-with icmp-proto-unreachable
  18. -A TCP -p tcp -m recent --update --seconds 60 --name TCP-PORTSCAN --rsource -j REJECT --reject-with tcp-reset
  19. -A TCP -p tcp -m tcp --dport 1234 -j ACCEPT
  20. -A UDP -p udp -m recent --update --seconds 60 --name UDP-PORTSCAN --rsource -j REJECT --reject-with icmp-port-unreachable
  21. -A UDP -p udp -m udp --dport 1234:1236 -j ACCEPT
  22. COMMIT
  23. # Completed on Thu Jun  6 09:55:03 2013

Ето и изхода от iptables -L

Код:
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 30/min burst 8
DROP       icmp --  anywhere             anywhere             icmp echo-request
UDP        udp  --  anywhere             anywhere             ctstate NEW
TCP        tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN ctstate NEW
REJECT     tcp  --  anywhere             anywhere             recent: SET name: TCP-PORTSCAN side: source reject-with tcp-reset                                       
REJECT     udp  --  anywhere             anywhere             recent: SET name: UDP-PORTSCAN side: source reject-with icmp-port-unreachable                           
REJECT     all  --  anywhere             anywhere             reject-with icmp-proto-unreachable                                                                      
                                                                                                                                                                      
Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain TCP (1 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere             recent: UPDATE seconds: 60 name: TCP-PORTSCAN side: source reject-with tcp-reset
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1234

Chain UDP (1 references)
target     prot opt source               destination         
REJECT     udp  --  anywhere             anywhere             recent: UPDATE seconds: 60 name: UDP-PORTSCAN side: source reject-with icmp-port-unreachable
ACCEPT     udp  --  anywhere             anywhere             udp dpts:1234:1236

За съставянето на правилата е ползван наръчника за Arch Linux

Титла: Re: Въпрос за iptables
Публикувано от: v13 в Jun 06, 2013, 10:18
Чудя се дали е хубаво да се добави и едно правило за логване на някой неща. Бихте ли препоръчали някое правило за логване, за съответната защитна стена.
Ето това, което е от наръчника на Ubuntu не ми е много ясно как точно функционира.

iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

Титла: Re: Въпрос за iptables
Публикувано от: morbid_viper в Jun 06, 2013, 16:42
изглежда правилата ще правят каквото искаш.

лично за мен вкарването в дневник на нещо от защитната стена е малко прекалено. каква точно полезна информация ще получиш, освен да разбереш, че си блокирал някой си в Таджикистан (например). наистина ли е важно това? за мен е загуба на ресурси.

Титла: Re: Въпрос за iptables
Публикувано от: v13 в Jun 06, 2013, 17:07
Интересува ме и дали ще има проблем с торентите заради правилото UDP-PORTSCAN. Вече изтествах програмата и не открих проблеми но все пак. Ползвам ktorrent, портовете, които са отворени са неговите. Не съм сигурен и дали трябва непременно да отварям всичките тези портове за торентите.
Понеже не е зададена конкретна верига за правилата за портовете, предполагам, че те ще важат за входащ и изходящ трафик ако примерно изходящата политика по подразбиране я направя DROP.
Струва ли си за обикновена десктоп машина всички политики да са DROP и после да се правят съответните разрешения?
Иначе за лога май си прав а и когато човек има съмнение за нещо много лесно може да провери на момента трафика си.

Титла: Re: Въпрос за iptables
Публикувано от: v13 в Jun 07, 2013, 12:36
...изтрито...

Редактирано, съгласно т. 1 от Правилата на форума.
bop_bop_mara


Powered by SMF 2.0 Beta 4 | SMF © 2006, Simple Machines LLC