cosmo Napisano Luty 6, 2006 Zgłoszenie Share Napisano Luty 6, 2006 Witam, Moje pytanie odnosi się do tego czy należy zmieniać do desktopowej pracy domyślne reguły iptables w fc4? Pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Luty 6, 2006 Zgłoszenie Share Napisano Luty 6, 2006 czy należy zmieniać do desktopowej pracy domyślne reguły iptables w fc4? A "desktopowa praca" tzn. przy kompie odłączonym od sieci? Jeśli jesteś podłączony do sieci, to zawsze warto coś wiedzieć coś o iptables, chociaż mało doświadczonym użytkownikom nikt raczej nie poleca własnoręcznego ustawiania reguł. Można więcej dziur w systemie narobić niż to jest w domyślnych ustawieniach. Swoją drogą ciekaw jestem jaką ochronę dają te domyślne ustawienia. Z tego co pamiętam wszystkie łańcuchy mają ustawioną domyślną politykę ACCEPT. Może ktoś bardziej biegły mi to wyjaśni przy okazji tego tematu. Pozdr, W. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
cosmo Napisano Luty 6, 2006 Autor Zgłoszenie Share Napisano Luty 6, 2006 Desktopowe tzn jak najbardziej podłączone do sieci ale raczej chodziło mi tu o przeciwieństwo serwerowego/routerowego No właśnie chyba bez sensu by było gdyby od początku było wszystko sccept. Jeśli by ktoś "znający" mógł napisać jakie zmiany należy (o ile w ogóle) dodać do standardowych reguł by już ewentualnie można się było w miar bezpiecznie czuć. Chodzi mi o jakieś ogólne regułki które były by w miarę uniwersalne. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
yoda6886 Napisano Luty 6, 2006 Zgłoszenie Share Napisano Luty 6, 2006 tutaj masz to nawet niezle wytlumaczone. i nie zajmuje to 20 stron. http://www.debian.one.pl/index.php?url=4 jak bedziesz mial bardziej szczegolowe pytania to dawaj. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
cosmo Napisano Luty 6, 2006 Autor Zgłoszenie Share Napisano Luty 6, 2006 Ok tak jak w temacie jestem bardzo newbie w tej dziedzinie i chcę zwyczajnie tylko dla fedory tak zmodyfikować swoje iptables (o ile to konieczne) by było stosunkowo bezpiecznie. W podanym przez Ciebie linku niebardzo wiem gdzie mam te komendy wpisywać Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
yoda6886 Napisano Luty 6, 2006 Zgłoszenie Share Napisano Luty 6, 2006 wiec tak. logujesz sie jako root. odpalasz terminal (konsole) wpisujesz tak: iptables --flush INPUT iptables --flush OUTPUT iptables --flush FORWARD iptables --policy INPUT DROP iptables -A INPUT -j ACCEPT -o lo iptalbes -A INPUT --m state --state ESTABLISHED,RELATED -j ACCEPT no i po tym jestes juz w miare bezpieczny. jak masz watpliwosci to wklep: iptables -L -v i pokaz wyniki. opcjonalnie mozesz dodac: iptables -A INPUT -p tcp -i [urzadzenie przez ktore sie laczysz z netem] -j REJECT --reject-with tcp-reset iptables -A INPUT -p udp -i [urzadzenie przez ktore sie laczysz z netem] -j REJECT --reject-with icmp-port-unreachable w miejsce [...] wpisujesz ethX -> jesli jest ot karta sieciowa (Xoznacza numer karty sieciowej) jesli masz jedna jest to 0. ppp0 jesli jest to wszelkiego rodzaju modem etc. no i na koniec (obowiazkowo): iptables-save > /etc/sysconfig/iptables /etc/init.d/iptables restart to koniec:) Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
cosmo Napisano Luty 7, 2006 Autor Zgłoszenie Share Napisano Luty 7, 2006 OK wielkie dzięki. Czyli co jednak po instalacji domyślne ustawienia iptables nie są bezpieczne? Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 RH-Firewall-1-INPUT all -- any any anywhere anywhere Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 2692 3152K RH-Firewall-1-INPUT all -- any any anywhere anywhere Chain OUTPUT (policy ACCEPT 2946 packets, 2575K bytes) pkts bytes target prot opt in out source destination Chain RH-Firewall-1-INPUT (2 references) pkts bytes target prot opt in out source destination 1420 2339K ACCEPT all -- lo any anywhere anywhere 0 0 ACCEPT icmp -- any any anywhere anywhere icmp any 0 0 ACCEPT ipv6-crypt-- any any anywhere anywhere 0 0 ACCEPT ipv6-auth-- any any anywhere anywhere 11 1057 ACCEPT udp -- any any anywhere 224.0.0.251 udp dpt:5353 0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:ipp 1257 811K ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 4 936 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
yoda6886 Napisano Luty 7, 2006 Zgłoszenie Share Napisano Luty 7, 2006 INPUT nie moze miec policy accept... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
cosmo Napisano Luty 7, 2006 Autor Zgłoszenie Share Napisano Luty 7, 2006 gdzie Ty to znalazłeś Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
yoda6886 Napisano Luty 8, 2006 Zgłoszenie Share Napisano Luty 8, 2006 Chain INPUT (policy ACCEPT 0 packets, 0 bytes) Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
cosmo Napisano Luty 16, 2006 Autor Zgłoszenie Share Napisano Luty 16, 2006 Czyli co wystarczy bym jeszcze zrobił by być bezpiecznym? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość amdfanatyk Napisano Luty 17, 2006 Zgłoszenie Share Napisano Luty 17, 2006 Czyli co wystarczy bym jeszcze zrobił by być bezpiecznym? konfiguracja firewall'a nie ma nic do bycia/nie bycia bezpiecznym. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Luty 18, 2006 Zgłoszenie Share Napisano Luty 18, 2006 konfiguracja firewall'a nie ma nic do bycia/nie bycia bezpiecznym. Ośmielę się nie zgodzić. Gdyby tak było to by nikt sie nie pluł o ogniomurki. Oczywiście, trzeba też uniemożliwić zdalne logowanie i wyłączyć zbędne usługi itepe, ale firewall - no ludzie - jednak ma coś do bezpieczeństwa. Nie wiem, co Ty miałes na mysli... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość amdfanatyk Napisano Luty 18, 2006 Zgłoszenie Share Napisano Luty 18, 2006 firewall daje jedynie mozliwosci manipulowania ruchem sieciowym, co przeklada sie takze na to, ze mozna do wiekszosci portow calkowicie odciac dostep; kazda bindujaca port aplikacja stanowi potencjalny tunel dla wlamywacza; nawet ostatnio mialem probe wykonania kodu przez amule, chociaz porty, ktore binduje sa stealth; firewall nie jest zabezpieczeniem, co innego np. IDS. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Luty 19, 2006 Zgłoszenie Share Napisano Luty 19, 2006 No dobra, ale jakoś to bezpieczeństwo trzeba sobie zapewnić. Więc co robimy? Ustalic nowe reguły firewalla, zeby to troche pomogło. Tylko jakie? Te które są domyślnie ustawione w Fedorze to kaszana? Nie wiem, czy to ma cos do firewalla, ale mój miernik obciążenia sieci czaem szaleje(a wszystko co sieciowe wyłączone - Evolution, Firefox, Gaim itp). No i co tu teraz począć? Nie jestem zaawanosanym użytkownikiem - przy instalacji zaznczyłem "włącz zaporę" i miałem nadzieje, że to pomoże... tylko teraz mam wątpliwości czy ten domyślny fireall w ogóle coś daje... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się