From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Content-Type: text/plain; charset="koi8-r" From: Sergei To: mandrake-russian@altlinux.ru Subject: Re: [mdk-re] =?koi8-r?b?6c7UxdLOxdQ=?= =?koi8-r?b?2sHdydTB?= X-Mailer: KMail [version 1.2] References: <20010514202106.240a619d.lorry@online.ru> In-Reply-To: <20010514202106.240a619d.lorry@online.ru> MIME-Version: 1.0 Message-Id: <01051422233704.07348@pif.b5.mephi.ru> Content-Transfer-Encoding: 8bit Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Mon May 14 22:10:00 2001 X-Original-Date: Mon, 14 May 2001 22:23:37 +0400 Archived-At: List-Archive: List-Post: 14 Май 2001 20:21 Вы написали: > Добрый день! > Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд. > Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах > существуют разнообразные программы для защиты портов от атак из интернета. > Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть > ipchains, junkbuster а может что-то и еще. В виндах все программы уже > настроены и надо их только запустить и все, тут же нет (наверное). > Подскажите как правильно настроить firewall, какие порты имеет смысл > перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP. > Помогите сделать систему защищенной! Посмотрите еще man ipchains или man iptables Если ядро 2.2.х, то использовать ipchains. -|-|-|-|- 2.4.х, то iptables. У firewall есть 3 цепочки по умолчанию: input - туда пакет попадает при приходе на твою машину forward - при передаче пакета с одного сетевого интерфейса на другой на твоей машине. output - при передаче пакета от твоей машины Можно определить свои цепочки. У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY) Если пакет движется так: ---->eth0--->|твоя машина|--->eth1---> то проходишь через все три цепочки по-очереди. При определения для пакета дальнейших действий есть стандартные: ACCEPT - пакет будет пропущен через цепочку REJECT - пакет будет отброшен, а отправителю будет отправлен пакет о недоступности данного адреса DENY - пакет будет отброшен без уведомления отправителя. При указании типа протокола используйте -p <имя или номер протокола> (посмотрите в /etc/protocols) Так вот, для 2.2.19 (ваш комп 192.168.1.30): ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам от 30 до 190 включительно. ipchains -A input -s 192.168.1.0/24 30:190 -d 192.168.1.30/32 -j ACCEPT означает, что всем из сети 192.168.1 к вашему компу разрешен доступ ко всем портам, при этом пакет должен уйти с порта от 30 до 190 включительно. Для правильного закрывания портов посмотрите, какие программы открывают их и какие именно (программа socklist поможет в этом), а затем для input или output или обоих перекрыть доступ похожими на приведенные выше командами. Не забудьте только открыть предварительно полный доступ для localhost (127.0.0.1/8 или 127.0.0.1/32)Также обратитесь к файлу /etc/services. Он поможет установить, какие порты чаще всего используются в тех или иных целях. Посмотрите еще файлы в /usr/share/nmap, там перечислены различные порты, которые используют программы-черви, троянские кони и т.д. Если что, попробую помочь еще, может быть с переводом man в ipchains и iptables. Желаю удачи. -- С уважением, Епифанов Сергей