[mdk-re] Интернетзащита

Lorry =?iso-8859-1?q?lorry_=CE=C1_online=2Eru?=
Вт Май 15 00:53:00 MSD 2001 

On Mon, 14 May 2001 22:23:37 +0400
Sergei <serpiph на pochtamt.ru> wrote:

> 14 Май 2001 20:21 Вы написали:
> > Добрый день!
> > Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд.
> > Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах
> > существуют разнообразные программы для защиты портов от атак из интернета.
> > Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть
> > ipchains, junkbuster а может что-то и еще. В виндах все программы уже
> > настроены и надо их только запустить и все, тут же нет (наверное).
> > Подскажите как правильно настроить firewall, какие порты имеет смысл
> > перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP.
> > Помогите сделать систему защищенной!
> Посмотрите еще man ipchains или man iptables
> Если ядро 2.2.х, то использовать ipchains.
> -|-|-|-|-   2.4.х, то iptables.
> У firewall есть 3 цепочки по умолчанию:
> input - туда пакет попадает при приходе на твою машину
> forward - при передаче пакета с одного сетевого интерфейса на другой на твоей 
> 	машине.
> output  - при передаче пакета от твоей машины
> Можно определить свои цепочки.
> У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY)
> Если пакет движется так:
> ---->eth0--->|твоя машина|--->eth1--->
> то проходишь через все три цепочки по-очереди.
> При определения для пакета дальнейших действий есть стандартные:
> ACCEPT - пакет будет пропущен через цепочку
> REJECT - пакет будет отброшен, а отправителю будет отправлен пакет о 
> недоступности данного адреса
> DENY - пакет будет отброшен без уведомления отправителя.
> При указании типа протокола используйте -p <имя или номер протокола>
> (посмотрите в /etc/protocols)
> Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам 
> от 30 до 190 включительно.
> ipchains -A input -s 192.168.1.0/24 30:190 -d 192.168.1.30/32 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ ко всем 
> портам, при этом пакет должен уйти с порта от 30 до 190 включительно.
> Для правильного закрывания портов  посмотрите, какие программы открывают их и 
> какие именно (программа socklist поможет в этом), а затем для input или 
> output или обоих перекрыть доступ похожими на приведенные выше командами. Не 
> забудьте только открыть предварительно полный доступ для localhost 
> (127.0.0.1/8 или 127.0.0.1/32)Также обратитесь к файлу /etc/services. Он 
> поможет установить, какие порты чаще всего используются в тех или иных целях. 
> Посмотрите еще файлы в /usr/share/nmap, там перечислены различные порты, 
> которые используют программы-черви, троянские кони и т.д.
> Если что, попробую помочь еще, может быть с переводом man в ipchains и 
> iptables. Желаю удачи.
> 
> -- 
> С уважением, Епифанов Сергей
> 
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian на altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian


Вы написали "Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам 
> от 30 до 190 включительно." - ведь при dialup Ip динамический, а сети у меня нет, я дома работаю. Как тут быть с ip?
-- 
__________________________________________________________
Best Regards!
   **Lorry **
www.happyline.ru

Подробная информация о списке рассылки community