From: Lorry <lorry@online.ru>
To: mandrake-russian@altlinux.ru
Subject: Re: [mdk-re] Интернетзащита
Date: Tue May 15 00:53:00 2001
Message-ID: <20010515010306.03c58ecc.lorry@online.ru> (raw)
In-Reply-To: <01051422233704.07348@pif.b5.mephi.ru>
On Mon, 14 May 2001 22:23:37 +0400
Sergei <serpiph@pochtamt.ru> wrote:
> 14 Май 2001 20:21 Вы написали:
> > Добрый день!
> > Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд.
> > Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах
> > существуют разнообразные программы для защиты портов от атак из интернета.
> > Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть
> > ipchains, junkbuster а может что-то и еще. В виндах все программы уже
> > настроены и надо их только запустить и все, тут же нет (наверное).
> > Подскажите как правильно настроить firewall, какие порты имеет смысл
> > перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP.
> > Помогите сделать систему защищенной!
> Посмотрите еще man ipchains или man iptables
> Если ядро 2.2.х, то использовать ipchains.
> -|-|-|-|- 2.4.х, то iptables.
> У firewall есть 3 цепочки по умолчанию:
> input - туда пакет попадает при приходе на твою машину
> forward - при передаче пакета с одного сетевого интерфейса на другой на твоей
> машине.
> output - при передаче пакета от твоей машины
> Можно определить свои цепочки.
> У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY)
> Если пакет движется так:
> ---->eth0--->|твоя машина|--->eth1--->
> то проходишь через все три цепочки по-очереди.
> При определения для пакета дальнейших действий есть стандартные:
> ACCEPT - пакет будет пропущен через цепочку
> REJECT - пакет будет отброшен, а отправителю будет отправлен пакет о
> недоступности данного адреса
> DENY - пакет будет отброшен без уведомления отправителя.
> При указании типа протокола используйте -p <имя или номер протокола>
> (посмотрите в /etc/protocols)
> Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам
> от 30 до 190 включительно.
> ipchains -A input -s 192.168.1.0/24 30:190 -d 192.168.1.30/32 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ ко всем
> портам, при этом пакет должен уйти с порта от 30 до 190 включительно.
> Для правильного закрывания портов посмотрите, какие программы открывают их и
> какие именно (программа socklist поможет в этом), а затем для input или
> output или обоих перекрыть доступ похожими на приведенные выше командами. Не
> забудьте только открыть предварительно полный доступ для localhost
> (127.0.0.1/8 или 127.0.0.1/32)Также обратитесь к файлу /etc/services. Он
> поможет установить, какие порты чаще всего используются в тех или иных целях.
> Посмотрите еще файлы в /usr/share/nmap, там перечислены различные порты,
> которые используют программы-черви, троянские кони и т.д.
> Если что, попробую помочь еще, может быть с переводом man в ipchains и
> iptables. Желаю удачи.
>
> --
> С уважением, Епифанов Сергей
>
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
Вы написали "Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам
> от 30 до 190 включительно." - ведь при dialup Ip динамический, а сети у меня нет, я дома работаю. Как тут быть с ip?
--
__________________________________________________________
Best Regards!
**Lorry **
www.happyline.ru
next prev parent reply other threads:[~2001-05-15 0:53 UTC|newest]
Thread overview: 15+ messages / expand[flat|nested] mbox.gz Atom feed top
2001-05-14 20:13 [mdk-re] Интернет защита Lorry
2001-05-14 22:10 ` [mdk-re] Интернетзащита Sergei
2001-05-14 23:53 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
2001-05-15 9:23 ` [mdk-re] Интернетзащита Maxim Savrilov
2001-05-15 21:14 ` Igor Solovyov
2001-05-15 23:00 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
2001-05-16 9:21 ` [mdk-re] Интернетзащита Maxim Savrilov
2001-05-16 22:43 ` Igor Solovyov
2001-05-15 22:27 ` Sergei
2001-05-15 0:53 ` Lorry [this message]
2001-05-15 1:35 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
2001-05-15 10:42 ` [mdk-re] Интернет защита cornet
2001-05-15 22:28 ` [mdk-re] Интернетзащита Sergei
2001-05-18 9:09 ` [mdk-re] Интернет защита Michael Shigorin
2001-05-18 11:14 ` Vyt
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20010515010306.03c58ecc.lorry@online.ru \
--to=lorry@online.ru \
--cc=mandrake-russian@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git