The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Правильное использование iptables и iptables +squid, !*! xinix, 05-Май-08, 13:33  [смотреть все]
На повестке поста n вопросов:

n1) Я параноик. Хочу сделать в iptables
*filter
INPUT [DROP]
FORFARD [DROP]
OUTPUT [DROP]
а потом открыть только нужные порты. Целесообразно ли так делать? Какая политика цепочек по умолчанию будет лучше?

n2) Как открыть доступ в интернет для squid не используя --uid-owner и используя политику DROP по умолчанию?

Ответить | Сообщить модератору
  • Правильное использование iptables и iptables +squid, !*! dandou, 20:20 , 05-Май-08 (1)
    >[оверквотинг удален]
    >n1) Я параноик. Хочу сделать в iptables
    >*filter
    >INPUT [DROP]
    >FORFARD [DROP]
    >OUTPUT [DROP]
    >а потом открыть только нужные порты. Целесообразно ли так делать? Какая политика
    >цепочек по умолчанию будет лучше?
    >
    >n2) Как открыть доступ в интернет для squid не используя --uid-owner и
    >используя политику DROP по умолчанию?

    ИМХО в OUTPUT лучше поставить ACCEPT, но и так можно заставить работать. Возни, только, много. Обязательно на выход и на вход должны быть открыты верхние "пользовательские" порты:
    #cat /proc/sys/net/ipv4/ip_local_port_range
    для лучшей безопасности их ставят 32768-61000:
    #echo "31768 61000" > /proc/sys/net/ipv4/ip_local_port_range

    И, в данном случае для входа на сквид, надо открыть порт 3128 со стороны локалки. Все.

    Ответить | Сообщить модератору
    • Правильное использование iptables и iptables +squid, !*! xinix, 10:56 , 06-Май-08 (2)
      >Обязательно на выход и на вход должны быть
      >открыты верхние "пользовательские" порты.

      А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений?

      >для лучшей безопасности их ставят 32768-61000:

      А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет на безопастность?


      Ответить | Сообщить модератору
      • Правильное использование iptables и iptables +squid, !*! dandou, 11:09 , 06-Май-08 (3)
        >>Обязательно на выход и на вход должны быть
        >>открыты верхние "пользовательские" порты.
        >
        >А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений?

        На вход - да.
        А на выход - как Вы это себе представляете?

        >
        >
        >>для лучшей безопасности их ставят 32768-61000:
        >
        >А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет
        >на безопастность?

        Этот диапазон за пределами используемых стандартными севисами.


        Ответить | Сообщить модератору
        • Правильное использование iptables и iptables +squid, !*! xinix, 13:58 , 06-Май-08 (4)
          >>>для лучшей безопасности их ставят 32768-61000:
          >Этот диапазон за пределами используемых стандартными севисами.

          Меня беспокоит, что если открыты исходящие порты, пусть даже и непривилигированные, то хакер, получив доступ с правами nobody, сможет открыть через эти порты соединение.

          Ответить | Сообщить модератору
  • Правильное использование iptables и iptables +squid, !*! xinix, 05:41 , 07-Май-08 (5)
    >На повестке поста n вопросов:

    Спасибо dandou, вопрос закрыт.

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру