OpenForum RSS: Правила iptables, этого достаточно? https://www.opennet.me/openforum/vsluhforumID10/4976.html Уважаемые гуру. Требуется ваш совет. Хочу поднять сервер на Slackware 13.37 На нем будет крутится только Samba (Предпологается в будующем вэб сервер поднять) Этих правил для максимальной безопасности будет достаточно или что подправить?<br><br>[code]#!/bin/sh<br><br>#################################### Задаем некоторые переменные:<br>IPTABLES="/usr/sbin/iptables" # Переменная, задающая путь к файлу запуска iptables<br>####################################<br><br>start_fw()<br>{<br># Включить перенаправление пакетов через ядро<br> echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br> #<br> $IPTABLES -P OUTPUT DROP<br> $IPTABLES -P INPUT DROP<br> $IPTABLES -P FORWARD DROP<br><br> # ================ Таблица 'фильтр', автоматические правила<br> # принимать устанвленные сессии<br> $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <br> $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <br> $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT<br><br> # ================ Таблица 'фильтр', политика набора Правила iptables, этого достаточно? (КуКу) https://www.opennet.me/openforum/vsluhforumID10/4976.html#11 Mon, 05 Dec 2011 11:58:04 GMT &gt; Да не у кого я ничего не выдергивал. Правила создавались программой fwbuilder, <br>&gt; это еще больше пол конфига сократил. Была вообще портянка:) Ну и <br>&gt; недоглядел остался форвард. Поэтому и спрашивал достаточно или нет. Решил сделать <br>&gt; пинги по проще,типа такого <br>&gt; [code]$IPTABLES -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j <br>&gt; ACCEPT <br>&gt; $IPTABLES -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type echo-request -j <br>&gt; ACCEPT[/code] <br><br>тогда советую потратить немного времени на прочтение основ iptables.<br>#### устанавливает политику по-умолчанию<br>$IPTABLES -P INPUT -j DROP<br>$IPTABLES -P OUTPUT -j DROP<br>$IPTABLES -P FORWARD -j DROP<br><br>#### и вот такими простыми правилами открываете нужные порты, можно и через -m multiport <br>$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT<br>$IPTABLES -A OUTPUT -p tcp --sport 22 -j ACCEPT<br><br><br>и больше Вам ничего ненужно. Если хочете поиграть в безопасность, читаем полный ман по iptables и про разные его фичи, после чего сможете накрутить все до вашего уровня парона Правила iptables, этого достаточно? (Andrey Mitrofanov) https://www.opennet.me/openforum/vsluhforumID10/4976.html#10 Mon, 05 Dec 2011 10:54:48 GMT &gt; Да не у кого я ничего не выдергивал. Правила создавались программой fwbuilder, <br>&gt; это еще больше пол конфига сократил. Была вообще портянка:) Ну и <br>&gt; недоглядел остался форвард. Поэтому и спрашивал достаточно или нет. Решил сделать <br>&gt; пинги по проще,типа такого <br>&gt; [code]$IPTABLES -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j <br>&gt; ACCEPT <br>&gt; $IPTABLES -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type echo-request -j <br>&gt; ACCEPT[/code] <br><br>Слова request и reply смотреть в словаре.<br><br># \/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/<br># Cmd Line : 1<br># Command : interface eth0 i<br><br># Creating chain 'in_i' under 'INPUT' in table 'filter'<br>/sbin/iptables -t filter -N in_i<br>/sbin/iptables -t filter -A INPUT -i eth0 -j in_i<br><br># Creating chain 'out_i' under 'OUTPUT' in table 'filter'<br>/sbin/iptables -t filter -N out_i<br>/sbin/iptables -t filter -A OUTPUT -o eth0 -j out_i<br><br># &gt; OK &lt;<br># FireHOL [interface:i] &gt; server ping accept<br><br># \/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\ Правила iptables, этого достаточно? (Humy) https://www.opennet.me/openforum/vsluhforumID10/4976.html#9 Mon, 05 Dec 2011 10:42:18 GMT Да не у кого я ничего не выдергивал. Правила создавались программой fwbuilder, это еще больше пол конфига сократил. Была вообще портянка:) Ну и недоглядел остался форвард. Поэтому и спрашивал достаточно или нет. Решил сделать пинги по проще,типа такого <br>[code]$IPTABLES -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j ACCEPT<br>$IPTABLES -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type echo-request -j ACCEPT[/code]<br> Правила iptables, этого достаточно? (Дядя_Федор) https://www.opennet.me/openforum/vsluhforumID10/4976.html#8 Sun, 04 Dec 2011 08:59:18 GMT &gt; Просто не смотрится как то <br>&gt; #!/bin/sh <br>&gt; /sbin/init 0 <br>&gt; :) <br><br> Понял. Прошу прощения за "голову". :)<br> Правила iptables, этого достаточно? (КуКУ) https://www.opennet.me/openforum/vsluhforumID10/4976.html#7 Sun, 04 Dec 2011 07:25:55 GMT &gt;&gt; $IPTABLES -A INPUT -p tcp -m multiport 22,21..137,139 -j ACCEPT <br>&gt;&gt; $IPTABLES -A OUTPUT -p tcp -m multiport 22,21..137,139 -j ACCEPT <br>&gt;&gt; init 0 <br>&gt; Ну, учитывая init 0 - да, безопасность будет действительно МАКСИМАЛЬНОЙ. :)))) <br>&gt; Только непонятен тогда смысл предыдущих строчек. Сдается мне - Вы не <br>&gt; только со слакой не дружите, а ее и с головой. Или <br>&gt; это такой тонкий стеб был?<br><br>хм я вроде бы сделал акцент на слове "МАКСИМАЛЬНЫЙ"... В следующий раз придется комментарии оставлять.<br><br>Просто не смотрится как то<br>#!/bin/sh<br>/sbin/init 0<br><br>:)<br> Правила iptables, этого достаточно? (Дядя_Федор) https://www.opennet.me/openforum/vsluhforumID10/4976.html#6 Sun, 04 Dec 2011 07:10:26 GMT &gt; $IPTABLES -A INPUT -p tcp -m multiport 22,21..137,139 -j ACCEPT <br>&gt; $IPTABLES -A OUTPUT -p tcp -m multiport 22,21..137,139 -j ACCEPT <br>&gt; init 0 <br><br> Ну, учитывая init 0 - да, безопасность будет действительно МАКСИМАЛЬНОЙ. :)))) Только непонятен тогда смысл предыдущих строчек. Сдается мне - Вы не только со слакой не дружите, а ее и с головой. Или это такой тонкий стеб был? <br><br><br> Правила iptables, этого достаточно? (КуКУ) https://www.opennet.me/openforum/vsluhforumID10/4976.html#5 Sat, 03 Dec 2011 20:33:38 GMT в слаке несилен, но для большинства linux-дистрибутивов для МАКСИМАЛЬНОЙ безопасности подойдет что-то вроде :<br><br>#!/bin/sh<br><br>#################################### <br>IPTABLES="/usr/sbin/iptables" # <br>####################################<br>$IPTABLES -P INPUT -j DROP<br>$IPTABLES -P OUTPUT -j DROP<br>$IPTABLES -P FORWARD -j DROP<br><br>$IPTABLES -A INPUT -p tcp -m multiport 22,21..137,139 -j ACCEPT<br>$IPTABLES -A OUTPUT -p tcp -m multiport 22,21..137,139 -j ACCEPT<br><br>init 0<br> Правила iptables, этого достаточно? (КуКУ) https://www.opennet.me/openforum/vsluhforumID10/4976.html#4 Sat, 03 Dec 2011 20:24:55 GMT Бррр... ощущение что надергали с чужого конфига строчек не разбираясь что к чему.<br>Получился такой Франкеншней, у которого третья рука торчит из *опы, и кажется что оно так и должно быть.<br><br>К примеру, не поделитесь ли случайно мудростью, какую смысловую или логическую нагрузку несет данное имя цепочки? <br>&gt; $IPTABLES -N Cid4148X2782.0 Правила iptables, этого достаточно? (Andrew) https://www.opennet.me/openforum/vsluhforumID10/4976.html#3 Sat, 03 Dec 2011 16:46:17 GMT Уважаемый ....<br>Где такую забористую траву брали ?<br>