[Comm] iptables

[Ruslan N. Balkin]

On Wed, 09 Oct 2002 09:54:34 +0400
Egorov wrote:

> Привет всем!
> Народ, подскажите такой скрипт iptables достаточен:
> *filter
> :INPUT ACCEPT [2305:262010]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [2743:551432]
> COMMIT
> *nat
> :PREROUTING ACCEPT [188:19967]
> :POSTROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [1838:117460]
> -A POSTROUTING -s x.x.x.x/255.255.255.0 -o eth0 -j SNAT --to-source
> y.y.y.y-A POSTROUTING -s x.x.x.x/255.255.255.0 -d x.x.x.x/255.255.255.0
> -j ACCEPT COMMIT
> 
> В принципе все работает, но по безапасности надо что-то делать или нет
> ( в частности с цепочками :INPUT :FORWARD :OUTPUT) ?
> 

То есть, Вы позволяете _КОМУ_УГОДНО_ подключаться _К_ЛЮБОМУ_ПОРТУ_ на
указанном компьютере?

Вообще, как я понимаю, в идеале на каждой из цепочек INPUT, FORWARD должно
стоять правило по умолчанию DROP или REJECT. Просто так, на всякий случай.
А вот чтобы выбрать правильные ACCEPT для этих правил, скорее всего,
придется помучиться.

Лично я нашел наиболее удобным такой способ: протоколирование блокированных
netfilter'ом запросов в /var/log/messages. Сразу видно, какой нужный траффик
не был пропущен netfilter'ом.

И еще мне очень понравился fwbuilder (есть в Сизифе и в Мастере). Начальный
скрипт, от которого плясал, был сгенерен fwbuilder'om, а далее - руки, руки.

-- 
С уважением,
Балькин Руслан.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.txt
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: For security, this message has been digitally signed.
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20021009/c7cd6aae/attachment-0002.bin>