From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <rromas@mailru.com>
Message-Id: <200101041332.f04DW2s81343@www1.mailru.com>
From: Roman S <rromas@mailru.com>
To: mandrake-russian@linuxteam.iplabs.ru
MIME-Version: 1.0
Content-Type: text/plain; charset="koi8-r"
Content-Transfer-Encoding: 8bit
X-Mailer: Free WebMail HotBOX.ru
X-Proxy-IP: [194.84.146.9]
X-Originating-IP: [172.16.1.101]
Subject: Re: [mdk-re] Безопасность
Sender: mandrake-russian-admin@linuxteam.iplabs.ru
Errors-To: mandrake-russian-admin@linuxteam.iplabs.ru
X-BeenThere: mandrake-russian@linuxteam.iplabs.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@linuxteam.iplabs.ru
List-Help: <mailto:mandrake-russian-request@linuxteam.iplabs.ru?subject=help>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>
List-Subscribe: <http://linuxteam.iplabs.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@linuxteam.iplabs.ru?subject=subscribe>
List-Id: Mandrake/RE discussion list <mandrake-russian.linuxteam.iplabs.ru>
List-Unsubscribe: <http://linuxteam.iplabs.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@linuxteam.iplabs.ru?subject=unsubscribe>
List-Archive: <http://linuxteam.iplabs.ru/pipermail/mandrake-russian/>
Date: Thu Jan  4 16:26:00 2001
X-Original-Date: Thu, 4 Jan 2001 16:32:02 +0300 (MSK)
Archived-At: <http://lore.altlinux.org/community/200101041332.f04DW2s81343@www1.mailru.com/>
List-Archive: <http://lore.altlinux.org/community/>

Цитирую Michael Bykov <mediacom@capital.ru>:

> Господа,
> 
> подскажите, пожалуйста, как закрыть эти порты, и что 
такое iad 1,2,3? И
> зачем
> они открыты по-умолчанию? Опасно ли это?
А хрен, его знает, кто такие эти IAD-ы.
Запусти netstat с указанием процесса, который их 
держит.

> 111/tcp    open        sunrpc
Должно быть ещё и по UDP, обычно нафиг не нужно.
> 113/tcp    open        auth
identd лучше вообще выключить, если он явно не нужен.
> 515/tcp    open        printer
Если не надо раздавать принтер всем :)
> 617/tcp    open        unknown
Посмотрите, кто держит порт
> 1024/tcp   open        kdm
> 1025/tcp   open        listen
> 1026/tcp   open        nterm
> 1030/tcp   open        iad1
> 1031/tcp   open        iad2
> 1032/tcp   open        iad3
> 3306/tcp   open        mysql

В общем, как поступаю я:
По непонятным причинам (или я дурак) в Mandrake нет 
скрипта, инициирующего правила ipchains по умолчанию.
Есть конечно linuxconf, но как-то гаденько там всё, к 
тому же linuxconf активируется после поднятия сетевого 
интерфейса - а это дыра.

1) Выдираем скрипт инициализации правил из документации
2) Помещаем его в /etc/rc.d/init.d
3) делаем сим. ссылки SNN<скрипт> на этот скрипт в 
каталогах с нужными runlevel, NN должен быть меньше, 
чем у network.
4) Внимательно читаем документацию по ручной настройке 
и тут же её забываем нафиг, ибо оно неудобно и 
ненаглядно.
5) запускаем gfcc (Gnome Firewall Control Center) если 
нет - ставим его (с 3-го диска или со свежего мяса)
6) Определяем в gfcc, что есть localhost.
7) В нашем случае критичны закладки input и output - 
соотв. для входящего и исходящего трафика.
Делаем такого вида:
input:
from (!localhost) ports (0-65535) to localhost (порты, 
которые прикрываем) протокол (tcp|udp) действие REJECT
output:
from (localhost) ports (какой-не-надо) to !
localhost ... REJECT

Сформируем таким образом правила блокировок (какие они 
должны быть - песня отдельная, достаточно нудная и 
индивидуальная)
Шмякаем пимпочку apply to system.
Проверяем результат.
Если понравилось - выполняем ipchains-save 
>/etc/ipchains.rules.
При загрузке его подхватит скрипт инициализации 
брандмауэра.

Ну, естественно, внесите поправку на то, что 
закрываете - это может быть не localhost, а ваша 
сетка...

Roman Savelyev