[mdk-re] Интернет защита

[mdk-re] Интернет защита

[Lorry]

Добрый день!
Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд. Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах существуют разнообразные программы для защиты портов от атак из интернета. Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть ipchains, junkbuster а может что-то и еще. В виндах все программы уже настроены и надо их только запустить и все, тут же нет (наверное). Подскажите как правильно настроить firewall, какие порты имеет смысл перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP. Помогите сделать систему защищенной! 

Re: [mdk-re] Интернетзащита

[Sergei]

14 Май 2001 20:21 Вы написали:
> Добрый день!
> Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд.
> Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах
> существуют разнообразные программы для защиты портов от атак из интернета.
> Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть
> ipchains, junkbuster а может что-то и еще. В виндах все программы уже
> настроены и надо их только запустить и все, тут же нет (наверное).
> Подскажите как правильно настроить firewall, какие порты имеет смысл
> перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP.
> Помогите сделать систему защищенной!
Посмотрите еще man ipchains или man iptables
Если ядро 2.2.х, то использовать ipchains.
-|-|-|-|-   2.4.х, то iptables.
У firewall есть 3 цепочки по умолчанию:
input - туда пакет попадает при приходе на твою машину
forward - при передаче пакета с одного сетевого интерфейса на другой на твоей 
	машине.
output  - при передаче пакета от твоей машины
Можно определить свои цепочки.
У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY)
Если пакет движется так:
---->eth0--->|твоя машина|--->eth1--->
то проходишь через все три цепочки по-очереди.
При определения для пакета дальнейших действий есть стандартные:
ACCEPT - пакет будет пропущен через цепочку
REJECT - пакет будет отброшен, а отправителю будет отправлен пакет о 
недоступности данного адреса
DENY - пакет будет отброшен без уведомления отправителя.
При указании типа протокола используйте -p <имя или номер протокола>
(посмотрите в /etc/protocols)
Так вот, для 2.2.19 (ваш комп 192.168.1.30):
ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам 
от 30 до 190 включительно.
ipchains -A input -s 192.168.1.0/24 30:190 -d 192.168.1.30/32 -j ACCEPT
означает, что всем из сети 192.168.1 к вашему компу разрешен доступ ко всем 
портам, при этом пакет должен уйти с порта от 30 до 190 включительно.
Для правильного закрывания портов  посмотрите, какие программы открывают их и 
какие именно (программа socklist поможет в этом), а затем для input или 
output или обоих перекрыть доступ похожими на приведенные выше командами. Не 
забудьте только открыть предварительно полный доступ для localhost 
(127.0.0.1/8 или 127.0.0.1/32)Также обратитесь к файлу /etc/services. Он 
поможет установить, какие порты чаще всего используются в тех или иных целях. 
Посмотрите еще файлы в /usr/share/nmap, там перечислены различные порты, 
которые используют программы-черви, троянские кони и т.д.
Если что, попробую помочь еще, может быть с переводом man в ipchains и 
iptables. Желаю удачи.

-- 
С уважением, Епифанов Сергей

Re: [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ

[Yuri Ryazantsev]

On Mon, May 14, 2001 at 10:23:37PM +0400, Sergei wrote:

> У firewall есть 3 цепочки по умолчанию:
> input - туда пакет попадает при приходе на твою машину
> forward - при передаче пакета с одного сетевого интерфейса на другой на твоей 
> 	машине.
> output  - при передаче пакета от твоей машины
> Можно определить свои цепочки.
> У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY)
> Если пакет движется так:
> ---->eth0--->|твоя машина|--->eth1--->
> то проходишь через все три цепочки по-очереди.

Помогите решить следующую задачу (я ее решил, но очень криво):
local network---->eth0--->|firewall|--->eth1--->Internet

Для простоты маскарадинга нет и в локальной сети реальные IP.
Хочется чтобы из Инета доступ к ssh был к любой машине в локальной сети
кроме firewall. А на нее доступ по ssh только с определенной машины из
локальной сети. При этом неразрешенные доступы были бы с возвратом ICMP no
route to host (REJECT в ipchains). Понятна проблема: при forward пакетов
проходится и цепочка input.

with best wishes,

Yuri.

Re: [mdk-re] Интернетзащита

[Lorry]

On Mon, 14 May 2001 22:23:37 +0400
Sergei <serpiph@pochtamt.ru> wrote:

> 14 Май 2001 20:21 Вы написали:
> > Добрый день!
> > Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд.
> > Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах
> > существуют разнообразные программы для защиты портов от атак из интернета.
> > Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть
> > ipchains, junkbuster а может что-то и еще. В виндах все программы уже
> > настроены и надо их только запустить и все, тут же нет (наверное).
> > Подскажите как правильно настроить firewall, какие порты имеет смысл
> > перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP.
> > Помогите сделать систему защищенной!
> Посмотрите еще man ipchains или man iptables
> Если ядро 2.2.х, то использовать ipchains.
> -|-|-|-|-   2.4.х, то iptables.
> У firewall есть 3 цепочки по умолчанию:
> input - туда пакет попадает при приходе на твою машину
> forward - при передаче пакета с одного сетевого интерфейса на другой на твоей 
> 	машине.
> output  - при передаче пакета от твоей машины
> Можно определить свои цепочки.
> У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY)
> Если пакет движется так:
> ---->eth0--->|твоя машина|--->eth1--->
> то проходишь через все три цепочки по-очереди.
> При определения для пакета дальнейших действий есть стандартные:
> ACCEPT - пакет будет пропущен через цепочку
> REJECT - пакет будет отброшен, а отправителю будет отправлен пакет о 
> недоступности данного адреса
> DENY - пакет будет отброшен без уведомления отправителя.
> При указании типа протокола используйте -p <имя или номер протокола>
> (посмотрите в /etc/protocols)
> Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам 
> от 30 до 190 включительно.
> ipchains -A input -s 192.168.1.0/24 30:190 -d 192.168.1.30/32 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ ко всем 
> портам, при этом пакет должен уйти с порта от 30 до 190 включительно.
> Для правильного закрывания портов  посмотрите, какие программы открывают их и 
> какие именно (программа socklist поможет в этом), а затем для input или 
> output или обоих перекрыть доступ похожими на приведенные выше командами. Не 
> забудьте только открыть предварительно полный доступ для localhost 
> (127.0.0.1/8 или 127.0.0.1/32)Также обратитесь к файлу /etc/services. Он 
> поможет установить, какие порты чаще всего используются в тех или иных целях. 
> Посмотрите еще файлы в /usr/share/nmap, там перечислены различные порты, 
> которые используют программы-черви, троянские кони и т.д.
> Если что, попробую помочь еще, может быть с переводом man в ipchains и 
> iptables. Желаю удачи.
> 
> -- 
> С уважением, Епифанов Сергей
> 
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian


Вы написали "Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам 
> от 30 до 190 включительно." - ведь при dialup Ip динамический, а сети у меня нет, я дома работаю. Как тут быть с ip?
-- 
__________________________________________________________
Best Regards!
   **Lorry **
www.happyline.ru

Re: [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ

[Yuri Ryazantsev]

On Tue, May 15, 2001 at 01:03:06AM +0400, Lorry wrote:

> Вы написали "Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> > ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> > означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам 
> > от 30 до 190 включительно." - ведь при dialup Ip динамический, а сети у меня нет, я дома работаю. Как тут быть с ip?

ipchains -A input -i ppp0 -s 195.34.0.1 53 -p udp -j ACCEPT
значит - разрешаю DNS ответ снаружи с ns.ptt.ru

with best wishes,

Yuri.

Re: [mdk-re] Интернетзащита

[Maxim Savrilov]

Yuri Ryazantsev wrote:

> Помогите решить следующую задачу (я ее решил, но очень криво):
> local network---->eth0--->|firewall|--->eth1--->Internet
>
> Для простоты маскарадинга нет и в локальной сети реальные IP.
> Хочется чтобы из Инета доступ к ssh был к любой машине в локальной сети
> кроме firewall. А на нее доступ по ssh только с определенной машины из
> локальной сети. При этом неразрешенные доступы были бы с возвратом ICMP no
> route to host (REJECT в ipchains). Понятна проблема: при forward пакетов
> проходится и цепочка input.

ipchains -A input -s 0.0.0.0/0.0.0.0 -d firewall 22:22 -p 6 -i eth1 -j REJECT
ipchains -A input -s ! local_machine -d firewall 22:22 -p 6 -i eth0 -j REJECT


Другое дело, как это увяжется со остальными правилами на вашем firewall...

И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny

Re: [mdk-re] Интернет защита

[cornet]

Lorry wrote:
> 
> Добрый день!
> Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд. Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах существуют разнообразные программы для защиты портов от атак из интернета. Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть ipchains, junkbuster а может что-то и еще. В виндах все программы уже настроены и надо их только запустить и все, тут же нет (наверное). Подскажите как правильно настроить firewall, какие порты имеет смысл перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP. Помогите сделать систему защищенной!

Hello!!

Ну дык! Тем Линух и хорош, что каждый сам себе хозяйн и рулит системой в
меру своих знаний и сил :-))

Для начала очень рекомендую Иксовую прогу gfcc она как раз для
конфигурирования ipchains предназначена. Грузаните ее и нажмите кнопочку
Load fom file, увидите несколько заготовок фаервольных правил
(поставляются вместе с gfcc). Посмотрите, попробуйте, для старта это
очень полезно, и пример перед глазами, и есть за что мозгами зацепиться
для дальнейшего совершенствования. Лично мне эти заготовки в свое время
очень помогли врубиться во все это дело :-)

Удачи!

-- 
******** FIRE & STEEL ********

Re: [mdk-re] Интернетзащита

[Igor Solovyov]

Hi!
On Tue, 15 May 2001 12:33:21 +0700
Maxim Savrilov <Maxim.Savrilov@oberon.novocybersk.ru> wrote:

> ipchains -A input -s 0.0.0.0/0.0.0.0 -d firewall 22:22 -p 6 -i eth1 -j
> REJECT
> ipchains -A input -s ! local_machine -d firewall 22:22 -p 6 -i eth0 -j
> REJECT
> 
> 
> Другое дело, как это увяжется со остальными правилами на вашем
> firewall...
> 
> И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny

А еще средствами xinetd (/etc/xinetd.conf).
Занятная штука это xinetd. 

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] Интернетзащита

[Sergei]

15 Май 2001 09:33 Вы написали:
> Yuri Ryazantsev wrote:
> > Помогите решить следующую задачу (я ее решил, но очень криво):
> > local network---->eth0--->|firewall|--->eth1--->Internet
> >
> > Для простоты маскарадинга нет и в локальной сети реальные IP.
> > Хочется чтобы из Инета доступ к ssh был к любой машине в локальной сети
> > кроме firewall. А на нее доступ по ssh только с определенной машины из
> > локальной сети. При этом неразрешенные доступы были бы с возвратом ICMP
> > no route to host (REJECT в ipchains). Понятна проблема: при forward
> > пакетов проходится и цепочка input.
>

ipchains -A input -s 127.0.0.1 -d firewall 22 -p tcp  -i eth0 -j ACCEPT
ipchains -A input -s firewall -d firewall 22 -p tcp  -i eth0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d firewall 22 -p tcp  -j REJECT 
И ACCEPT для всех трех цепочек по умолчанию. Иначе нужно специально 
прописывать разрешения на прохождение пакетов из сети в сеть.


-- 
С уважением, Епифанов Сергей

Re: [mdk-re] Интернетзащита

[Sergei]

15 Май 2001 10:49 Вы написали:
> Lorry wrote:
> > Добрый день!
> > Я довольно давно работаю в Линуксе. Я использую его дома для домашних
> > нужд. Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах
> > существуют разнообразные программы для защиты портов от атак из
> > интернета. Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В
> > линуксе есть ipchains, junkbuster а может что-то и еще. В виндах все
> > программы уже настроены и надо их только запустить и все, тут же нет
> > (наверное). Подскажите как правильно настроить firewall, какие порты
> > имеет смысл перекрыть, при условии, что используется лишь HTTP, POP,
> > IMAP, SMTP, FTP. Помогите сделать систему защищенной!
>
> Hello!!
>
> Ну дык! Тем Линух и хорош, что каждый сам себе хозяйн и рулит системой в
> меру своих знаний и сил :-))
>
> Для начала очень рекомендую Иксовую прогу gfcc она как раз для
> конфигурирования ipchains предназначена. Грузаните ее и нажмите кнопочку
> Load fom file, увидите несколько заготовок фаервольных правил
> (поставляются вместе с gfcc). Посмотрите, попробуйте, для старта это
> очень полезно, и пример перед глазами, и есть за что мозгами зацепиться
> для дальнейшего совершенствования. Лично мне эти заготовки в свое время
> очень помогли врубиться во все это дело :-)
>
> Удачи!
Я просто взял man-страницу от ipchains и сделал себе правила.
-- 
С уважением, Епифанов Сергей

Re: [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ

[Yuri Ryazantsev]

On Tue, May 15, 2001 at 11:18:45PM +0600, Igor Solovyov wrote:

> > И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny
> 
> А еще средствами xinetd (/etc/xinetd.conf).
> Занятная штука это xinetd. 

Штучка то занятная, но с sshd увязывается плохо. 

with best wishes,

Yuri.

Re: [mdk-re] Интернетзащита

[Maxim Savrilov]

Yuri Ryazantsev wrote:

> On Tue, May 15, 2001 at 11:18:45PM +0600, Igor Solovyov wrote:
>
> > > И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny
> >
> > А еще средствами xinetd (/etc/xinetd.conf).
> > Занятная штука это xinetd.
>
> Штучка то занятная, но с sshd увязывается плохо.
>
> with best wishes,

Ну и не делайте через него.
openssh в Spring собран с tcp-wrappers, поэтому спокойно можно прописать в
/etc/hosts.allow на firewall
sshd:    local_machine_ip
и все

Re: [mdk-re] Интернетзащита

[Igor Solovyov]

Hi!
On Tue, 15 May 2001 23:05:11 +0400
Yuri Ryazantsev <yuri@unix.ru> wrote:

> On Tue, May 15, 2001 at 11:18:45PM +0600, Igor Solovyov wrote:
> 
> > > И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny
> > 
> > А еще средствами xinetd (/etc/xinetd.conf).
> > Занятная штука это xinetd. 
> 
> Штучка то занятная, но с sshd увязывается плохо. 

Чем плохо? IMHO очень даже ничего.
Во всяком случае то о чем шла речь, вполне решается.

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [mdk-re] Интернет защита

[Michael Shigorin]

On Mon, 14 May 2001, Lorry wrote:

> Добрый день!
> Я довольно давно работаю в Линуксе. Я использую его дома для домашних
> нужд. Я крайне доволен им и менять его не собираюсь. Вот вопрос: в
> виндах существуют разнообразные программы для защиты портов от атак
> из интернета. Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber
Не знал ни одной...

> e.t.c. В линуксе есть ipchains, junkbuster а может что-то и еще. В
junkbuster -- баннероприбивалка. Это можно делать и файрволлом, но
файрволлить junkbusterom... ;-)

> виндах все программы уже настроены и надо их только запустить и все,
> тут же нет (наверное). Подскажите как правильно настроить firewall,
> какие порты имеет смысл перекрыть, при условии, что используется лишь
> HTTP, POP, IMAP, SMTP, FTP. Помогите сделать систему защищенной!
/usr/share/doc/HOWTO/*/IPCHAINS-HOWTO
Несколько дольше, но _как_ полезно!

2All: прочитал, руки зачесались дома с ToS побаловаться -- там,
ftp = max througput, mail = max reliability, http/ssh = min delay...

-- 
WBR, Michael Shigorin, webmaster @ www.chem.univ.kiev.ua
>Home Page:  http://visa.chem.univ.kiev.ua/~mike/  ICQ: 113344029
>Brainbench: http://www.brainbench.com/transcript.jsp?pid=2434729

Re: [mdk-re] Интернет защита

[Vyt]

On Fri, 18 May 2001 08:16:26 +0300 (EEST)
Michael Shigorin <mike@lic145.kiev.ua> wrote:

<skipped>

> > тут же нет (наверное). Подскажите как правильно настроить firewall,
> > какие порты имеет смысл перекрыть, при условии, что используется лишь
> > HTTP, POP, IMAP, SMTP, FTP. Помогите сделать систему защищенной!
> /usr/share/doc/HOWTO/*/IPCHAINS-HOWTO
> Несколько дольше, но _как_ полезно!
> 
> 2All: прочитал, руки зачесались дома с ToS побаловаться -- там,
> ftp = max througput, mail = max reliability, http/ssh = min delay...

Если в ядрах 2.2.x - попробуйте iproute2, у ipchains возможности в этом
плане никакие (IMHO). В 2.4.x - iptable.

<skipped>

-- 
Regards, Vyt
mailto:vyt@vzljot.ru