- Правильное использование iptables и iptables +squid, dandou, 20:20 , 05-Май-08 (1)
>[оверквотинг удален] >n1) Я параноик. Хочу сделать в iptables >*filter >INPUT [DROP] >FORFARD [DROP] >OUTPUT [DROP] >а потом открыть только нужные порты. Целесообразно ли так делать? Какая политика >цепочек по умолчанию будет лучше? > >n2) Как открыть доступ в интернет для squid не используя --uid-owner и >используя политику DROP по умолчанию? ИМХО в OUTPUT лучше поставить ACCEPT, но и так можно заставить работать. Возни, только, много. Обязательно на выход и на вход должны быть открыты верхние "пользовательские" порты: #cat /proc/sys/net/ipv4/ip_local_port_range для лучшей безопасности их ставят 32768-61000: #echo "31768 61000" > /proc/sys/net/ipv4/ip_local_port_range И, в данном случае для входа на сквид, надо открыть порт 3128 со стороны локалки. Все.
- Правильное использование iptables и iptables +squid, xinix, 10:56 , 06-Май-08 (2)
>Обязательно на выход и на вход должны быть >открыты верхние "пользовательские" порты.А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений? >для лучшей безопасности их ставят 32768-61000: А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет на безопастность?
- Правильное использование iptables и iptables +squid, dandou, 11:09 , 06-Май-08 (3)
>>Обязательно на выход и на вход должны быть >>открыты верхние "пользовательские" порты. > >А разве нельзя обойтись разрешением на вход и на выход RELATED,ESTABLISHED соединений?На вход - да. А на выход - как Вы это себе представляете? > > >>для лучшей безопасности их ставят 32768-61000: > >А зачем урезать количество теоретических соединений? Разве количество открытых юзерских портов влияет >на безопастность? Этот диапазон за пределами используемых стандартными севисами.
- Правильное использование iptables и iptables +squid, xinix, 13:58 , 06-Май-08 (4)
>>>для лучшей безопасности их ставят 32768-61000: >Этот диапазон за пределами используемых стандартными севисами. Меня беспокоит, что если открыты исходящие порты, пусть даже и непривилигированные, то хакер, получив доступ с правами nobody, сможет открыть через эти порты соединение.
- Правильное использование iptables и iptables +squid, xinix, 05:41 , 07-Май-08 (5)
>На повестке поста n вопросов: Спасибо dandou, вопрос закрыт.
|