https://opennet.me/openforum/vsluhforumID10/3773.html На повестке поста n вопросов:<br><br>n1) Я параноик. Хочу сделать в iptables<br>*filter<br>INPUT [DROP]<br>FORFARD [DROP]<br>OUTPUT [DROP]<br>а потом открыть только нужные порты. Целесообразно ли так делать? Какая политика цепочек по умолчанию будет лучше?<br><br>n2) Как открыть доступ в интернет для squid не используя --uid-owner и используя политику DROP по умолчанию?<br> https://opennet.me/openforum/vsluhforumID10/3773.html#5 Wed, 07 May 2008 01:41:46 GMT &gt;На повестке поста n вопросов: <br><br>Спасибо dandou, вопрос закрыт.<br> https://opennet.me/openforum/vsluhforumID10/3773.html#4 Tue, 06 May 2008 09:58:50 GMT &gt;&gt;&gt;для лучшей безопасности их ставят 32768-61000: <br>&gt;Этот диапазон за пределами используемых стандартными севисами. <br><br>Меня беспокоит, что если открыты исходящие порты, пусть даже и непривилигированные, то хакер, получив доступ с правами nobody, сможет открыть через эти порты соединение. <br> https://opennet.me/openforum/vsluhforumID10/3773.html#3 Tue, 06 May 2008 07:09:46 GMT &gt;&gt;Обязательно на выход и на вход должны быть <br>&gt;&gt;открыты верхние "пользовательские" порты.<br>&gt;<br>&gt;А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений?<br><br>На вход - да.<br>А на выход - как Вы это себе представляете?<br><br>&gt;<br>&gt;<br>&gt;&gt;для лучшей безопасности их ставят 32768-61000: <br>&gt;<br>&gt;А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет <br>&gt;на безопастность? <br><br>Этот диапазон за пределами используемых стандартными севисами.<br><br><br> https://opennet.me/openforum/vsluhforumID10/3773.html#2 Tue, 06 May 2008 06:56:55 GMT &gt;Обязательно на выход и на вход должны быть <br>&gt;открыты верхние "пользовательские" порты.<br><br>А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений?<br><br>&gt;для лучшей безопасности их ставят 32768-61000: <br><br>А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет на безопастность?<br><br><br> https://opennet.me/openforum/vsluhforumID10/3773.html#1 Mon, 05 May 2008 16:20:29 GMT &gt;[оверквотинг удален]<br>&gt;n1) Я параноик. Хочу сделать в iptables <br>&gt;*filter <br>&gt;INPUT [DROP] <br>&gt;FORFARD [DROP] <br>&gt;OUTPUT [DROP] <br>&gt;а потом открыть только нужные порты. Целесообразно ли так делать? Какая политика <br>&gt;цепочек по умолчанию будет лучше? <br>&gt;<br>&gt;n2) Как открыть доступ в интернет для squid не используя --uid-owner и <br>&gt;используя политику DROP по умолчанию? <br><br>ИМХО в OUTPUT лучше поставить ACCEPT, но и так можно заставить работать. Возни, только, много. Обязательно на выход и на вход должны быть открыты верхние "пользовательские" порты:<br>#cat /proc/sys/net/ipv4/ip_local_port_range<br>для лучшей безопасности их ставят 32768-61000:<br>#echo "31768 61000" &gt; /proc/sys/net/ipv4/ip_local_port_range<br><br>И, в данном случае для входа на сквид, надо открыть порт 3128 со стороны локалки. Все.<br>