From: Lorry <lorry@online.ru> To: mandrake-russian@altlinux.ru Subject: Re: [mdk-re] Интернетзащита Date: Tue May 15 00:53:00 2001 Message-ID: <20010515010306.03c58ecc.lorry@online.ru> (raw) In-Reply-To: <01051422233704.07348@pif.b5.mephi.ru> On Mon, 14 May 2001 22:23:37 +0400 Sergei <serpiph@pochtamt.ru> wrote: > 14 Май 2001 20:21 Вы написали: > > Добрый день! > > Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд. > > Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах > > существуют разнообразные программы для защиты портов от атак из интернета. > > Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть > > ipchains, junkbuster а может что-то и еще. В виндах все программы уже > > настроены и надо их только запустить и все, тут же нет (наверное). > > Подскажите как правильно настроить firewall, какие порты имеет смысл > > перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP. > > Помогите сделать систему защищенной! > Посмотрите еще man ipchains или man iptables > Если ядро 2.2.х, то использовать ipchains. > -|-|-|-|- 2.4.х, то iptables. > У firewall есть 3 цепочки по умолчанию: > input - туда пакет попадает при приходе на твою машину > forward - при передаче пакета с одного сетевого интерфейса на другой на твоей > машине. > output - при передаче пакета от твоей машины > Можно определить свои цепочки. > У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY) > Если пакет движется так: > ---->eth0--->|твоя машина|--->eth1---> > то проходишь через все три цепочки по-очереди. > При определения для пакета дальнейших действий есть стандартные: > ACCEPT - пакет будет пропущен через цепочку > REJECT - пакет будет отброшен, а отправителю будет отправлен пакет о > недоступности данного адреса > DENY - пакет будет отброшен без уведомления отправителя. > При указании типа протокола используйте -p <имя или номер протокола> > (посмотрите в /etc/protocols) > Так вот, для 2.2.19 (ваш комп 192.168.1.30): > ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT > означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам > от 30 до 190 включительно. > ipchains -A input -s 192.168.1.0/24 30:190 -d 192.168.1.30/32 -j ACCEPT > означает, что всем из сети 192.168.1 к вашему компу разрешен доступ ко всем > портам, при этом пакет должен уйти с порта от 30 до 190 включительно. > Для правильного закрывания портов посмотрите, какие программы открывают их и > какие именно (программа socklist поможет в этом), а затем для input или > output или обоих перекрыть доступ похожими на приведенные выше командами. Не > забудьте только открыть предварительно полный доступ для localhost > (127.0.0.1/8 или 127.0.0.1/32)Также обратитесь к файлу /etc/services. Он > поможет установить, какие порты чаще всего используются в тех или иных целях. > Посмотрите еще файлы в /usr/share/nmap, там перечислены различные порты, > которые используют программы-черви, троянские кони и т.д. > Если что, попробую помочь еще, может быть с переводом man в ipchains и > iptables. Желаю удачи. > > -- > С уважением, Епифанов Сергей > > _______________________________________________ > Mandrake-russian mailing list > Mandrake-russian@altlinux.ru > http://altlinux.ru/mailman/listinfo/mandrake-russian Вы написали "Так вот, для 2.2.19 (ваш комп 192.168.1.30): > ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT > означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам > от 30 до 190 включительно." - ведь при dialup Ip динамический, а сети у меня нет, я дома работаю. Как тут быть с ip? -- __________________________________________________________ Best Regards! **Lorry ** www.happyline.ru
next prev parent reply other threads:[~2001-05-15 0:53 UTC|newest] Thread overview: 15+ messages / expand[flat|nested] mbox.gz Atom feed top 2001-05-14 20:13 [mdk-re] Интернет защита Lorry 2001-05-14 22:10 ` [mdk-re] Интернетзащита Sergei 2001-05-14 23:53 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev 2001-05-15 9:23 ` [mdk-re] Интернетзащита Maxim Savrilov 2001-05-15 21:14 ` Igor Solovyov 2001-05-15 23:00 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev 2001-05-16 9:21 ` [mdk-re] Интернетзащита Maxim Savrilov 2001-05-16 22:43 ` Igor Solovyov 2001-05-15 22:27 ` Sergei 2001-05-15 0:53 ` Lorry [this message] 2001-05-15 1:35 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev 2001-05-15 10:42 ` [mdk-re] Интернет защита cornet 2001-05-15 22:28 ` [mdk-re] Интернетзащита Sergei 2001-05-18 9:09 ` [mdk-re] Интернет защита Michael Shigorin 2001-05-18 11:14 ` Vyt
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20010515010306.03c58ecc.lorry@online.ru \ --to=lorry@online.ru \ --cc=mandrake-russian@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git