Титла: firewall configuration
Публикувано от: rat в Apr 01, 2002, 11:50
Напоследък съм станал параноичен.... 
.. Та въпросчето ми е малко теоретично:
Да кажем клиента(аз) се закача на порт 80 на tcp .
На кой порт сървъра ще върне поисканите данни?
Random nad 1024 ?
Накратко не зная кои портове да затворя във веригата INPUT та да не спра и някои често употребявани услуги.По принцип с колегите не ползваме кой знае какво : web,ftp,icq,irc ,mail,msn messener , yahoo mes..
Идеята ми е да затворя да кажем почти всичко над 1024 vav INPUT verigata.
.. Та въпросчето ми е малко теоретично:Да кажем клиента(аз) се закача на порт 80 на tcp .
На кой порт сървъра ще върне поисканите данни?
Random nad 1024 ?
Накратко не зная кои портове да затворя във веригата INPUT та да не спра и някои често употребявани услуги.По принцип с колегите не ползваме кой знае какво : web,ftp,icq,irc ,mail,msn messener , yahoo mes..
Идеята ми е да затворя да кажем почти всичко над 1024 vav INPUT verigata.
Титла: firewall configuration
Публикувано от: в Apr 01, 2002, 13:40
ami ako sum te razbral pravilno ti imash primerno web server na tvoiata mashnia
znachi az kato klient pravia zaiavka kum teb na port 80
ti mi otgovariasg syshto ot port 80
klienta e tozi koito pravi zaiavki ot negov po goren port >1024
taka che spokoino mojesh da blokirash tezi portove stiga da niama niakoj daemon kojto da chaka tam i da ti traibva
imaj predwid che za TCP ima dva wida pakaeti sys wdignat flag SYN i sys svalen pyrvite sa tezi kojto sa za izgrajdane na wryzkata
upseh ako imash wyprosi ili problemi pihi
pozdravi
znachi az kato klient pravia zaiavka kum teb na port 80
ti mi otgovariasg syshto ot port 80
klienta e tozi koito pravi zaiavki ot negov po goren port >1024
taka che spokoino mojesh da blokirash tezi portove stiga da niama niakoj daemon kojto da chaka tam i da ti traibva
imaj predwid che za TCP ima dva wida pakaeti sys wdignat flag SYN i sys svalen pyrvite sa tezi kojto sa za izgrajdane na wryzkata
upseh ako imash wyprosi ili problemi pihi
pozdravi
Титла: firewall configuration
Публикувано от: rat в Apr 01, 2002, 13:49
Ami port 80 beshe samo primer.Situaciqta e slednata :
Imam 2 interface eth0 i eth1
eth1 - 192.168.0.1
eth0 - some real IP
Imam si web server ama toi taka ili ina4e e samo za lokalnata mreja(ne obslujva zaqwki ot vun)
Ako napravq da kajem slednoto :
nqma li da otreja i neshta koito shte mi trqbvat ?
Imam 2 interface eth0 i eth1
eth1 - 192.168.0.1
eth0 - some real IP
Imam si web server ama toi taka ili ina4e e samo za lokalnata mreja(ne obslujva zaqwki ot vun)
Ako napravq da kajem slednoto :
| Примерен код |
| ipchains -A input -p tcp -s !192.168.0.1/24 -d MY_REAL_IP 1025:65535 -j DENY |
nqma li da otreja i neshta koito shte mi trqbvat ?
Титла: firewall configuration
Публикувано от: hint в Apr 01, 2002, 14:01
spokojno moje da orejesh vsi4ki portove > 1024 na eth0, ako ne polzvash tova PC kato server za vunshnata mreja
A ako si mnogo paranoi4en, i tova PC go polzvash samo za maskarading - t.e. ot nego ne polzvash internet, moje da otrejesh celia trafic na input/output verigite kum eth0 - az taka sum napravil na moja maskarading server, no polzvam iptables - s ipchains ne sum mnogo zapoznat
A ako si mnogo paranoi4en, i tova PC go polzvash samo za maskarading - t.e. ot nego ne polzvash internet, moje da otrejesh celia trafic na input/output verigite kum eth0 - az taka sum napravil na moja maskarading server, no polzvam iptables - s ipchains ne sum mnogo zapoznat
Титла: firewall configuration
Публикувано от: в Apr 01, 2002, 14:03
Zdravej znachi ne znam dokolko si zapoznat s ipchains no ima edna opcia -C koiato e za testvane
znachi mojesh da si pravish probi i da widish kak e dali wsichko koeto iskah e kakto triabva realno ili chrez opcia -C
btw, kakva ti e distribuciata na linuxa?
inache mojesh da blokirash samo sINPUT werigata za opredelen interfejs
ipchains -A input -p tcp -s !192.168.0.1/24 -d MY_REAL_IP 1025:65535 -i eth1 -j DENY
i tova pravilo shte vaji samo za eht1 interfiejsa
probwaj uspeh
ako ima neshto kazvaj
pzdravi
znachi mojesh da si pravish probi i da widish kak e dali wsichko koeto iskah e kakto triabva realno ili chrez opcia -C
btw, kakva ti e distribuciata na linuxa?
inache mojesh da blokirash samo sINPUT werigata za opredelen interfejs
ipchains -A input -p tcp -s !192.168.0.1/24 -d MY_REAL_IP 1025:65535 -i eth1 -j DENY
i tova pravilo shte vaji samo za eht1 interfiejsa
probwaj uspeh
ako ima neshto kazvaj
pzdravi
Титла: firewall configuration
Публикувано от: rat в Apr 01, 2002, 14:26
sintaksisa na ipchains mi e qsen.
Mashinata naistina e za masquerading ama ima i squid-4e (4e nqkoj hora mi lapata trafika )
Ami maskiraniute paketi te si varvqt po forward werigata ...
mdaaa ne se bqh setil 4e moga da oreja input i output ..
Mersi mnogo sega ostava da go doobmislq i d aprobvam
Mashinata naistina e za masquerading ama ima i squid-4e (4e nqkoj hora mi lapata trafika )
Ami maskiraniute paketi te si varvqt po forward werigata ...
mdaaa ne se bqh setil 4e moga da oreja input i output ..
Mersi mnogo sega ostava da go doobmislq i d aprobvam