* [Comm] немного мыслей по брандмауэру
@ 2009-07-20 19:53 hisbreht
2009-07-21 8:37 ` Alexei V. Mezin
0 siblings, 1 reply; 13+ messages in thread
From: hisbreht @ 2009-07-20 19:53 UTC (permalink / raw)
To: ALT Linux Community general discussions
Настраивал недавно брандмауэр. Возникло несколько мыслей.
Если не прав, поправьте и ткните пальцем.
1. Почему в дистрибутивах Alt Linux отсутствует начальная настройка правил
брандмауэра и примеры настроек для типовых ситуаций (ppp0 + eth0, например).
2. Есть ли канонический пример настройки для случая ppp0 + eth0?
Если брать тот, который rc.DHCP.firewall.txt из учебника по
брандмауэростроению, то в учебнике сразу запугивают, что он ненадежный.
3. Относительно альтератора и настройки брандмауэра (ALD 4.1.1).
Почему отсутствующие в системе на момент вызова интерфейсы (ppp0, например) не
отображаются в выпадающем списке? Будут ли работать правила, установленные в
результате настройки альтератора, после выключения и включения интерфейса
(после этого он с большой вероятностью получит новый IP адрес).
Почему в альтераторе выбираются разрешенные протоколы только для входящих
соединений?
--
Виктор.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-20 19:53 [Comm] немного мыслей по брандмауэру hisbreht
@ 2009-07-21 8:37 ` Alexei V. Mezin
2009-07-21 12:31 ` Sergey
2009-07-21 16:16 ` hisbreht
0 siblings, 2 replies; 13+ messages in thread
From: Alexei V. Mezin @ 2009-07-21 8:37 UTC (permalink / raw)
To: ALT Linux Community general discussions
hisbreht@rambler.ru пишет:
> 1. Почему в дистрибутивах Alt Linux отсутствует начальная настройка правил
> брандмауэра
Потому что они не нужны. На безопасность десктопной системы они не
влияют, а к серверу должен прилагаться мозг с руками (он же админ), с
помощью которого должна решаться конкретная задача.
> и примеры настроек для типовых ситуаций (ppp0 + eth0, например).
Что такое "типовая настройка"? ppp0 это у вас аналоговый модем с
dial-up, а eth0 это интерфейс, смотрящий на второй комп в комнате? Или
может eth0 это интерфейс в локалку местного провайдера, а ppp0 это
VPN-соединение для выхода в интернет через этого провайдера? В первом
случае, наверное, пользователь будет думать про NAT, во втором про
static routes (которые, кстати, не имеют отношения к брэндмауэру).
> 2. Есть ли канонический пример настройки для случая ppp0 + eth0?
Нету. Потому что нет такого случая. Есть множество возможных случаев, в
которых образуется два таких интерфейса, и все они требуют разной настройки.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 8:37 ` Alexei V. Mezin
@ 2009-07-21 12:31 ` Sergey
2009-07-21 13:39 ` Dmitriy Kruglikov
2009-07-21 16:16 ` hisbreht
1 sibling, 1 reply; 13+ messages in thread
From: Sergey @ 2009-07-21 12:31 UTC (permalink / raw)
To: community
On Tuesday 21 July 2009, Alexei V. Mezin wrote:
> > 1. Почему в дистрибутивах Alt Linux отсутствует начальная настройка
> > правил брандмауэра
> Потому что они не нужны. На безопасность десктопной системы они не
> влияют,
Вообще, кое на что влияют. Вот такой примерно набор правил по-умолчанию
не помешал бы:
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP
Вопрос только, куда их писать... Есть /etc/sysconfig/iptables, а есть
http://www.altlinux.org/Etcnet/firewall. Тут уже личный выбор.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 12:31 ` Sergey
@ 2009-07-21 13:39 ` Dmitriy Kruglikov
2009-07-21 14:49 ` Alexei V. Mezin
2009-07-21 17:45 ` Sergey
0 siblings, 2 replies; 13+ messages in thread
From: Dmitriy Kruglikov @ 2009-07-21 13:39 UTC (permalink / raw)
To: ALT Linux Community general discussions
21 июля 2009 г. 15:31 пользователь Sergey написал:
> Вот такой примерно набор правил по-умолчанию
> не помешал бы:
>
> -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
...
Это вам, мистер, еще не приходилось наблюдать,
как во время атаки на SSH блокируется все остальное :)
Или вам самому нужно зайти на сервер в то время, как его кто-то атакует ...
Брандмауэр - это не то место, которое можно доверить кому-либо,
даже шибко уважаемому ...
Его нужно выдумать, выстрадать и самостоятельно выродить ...
Тогда и будет понятно, что, куда и зачем писать...
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 13:39 ` Dmitriy Kruglikov
@ 2009-07-21 14:49 ` Alexei V. Mezin
2009-07-21 15:04 ` Dmitriy Kruglikov
2009-07-21 17:54 ` Sergey
2009-07-21 17:45 ` Sergey
1 sibling, 2 replies; 13+ messages in thread
From: Alexei V. Mezin @ 2009-07-21 14:49 UTC (permalink / raw)
To: ALT Linux Community general discussions
Dmitriy Kruglikov пишет:
> Это вам, мистер, еще не приходилось наблюдать,
> как во время атаки на SSH блокируется все остальное :)
И что, часто ли десктопные системы подвергаются таким атакам? Наблюдения
показывают, что еженощные (с часу до двух по Мск) 5-минутные "атаки" с
китайских адресов, при которых пытаются подобрать пароль root'а, не
сильно напрягают машину. А с учетом того, что рута по ссх не пускают...
Но таки да, после 3 попыток дроп на пару минут может и пригодиться. Хотя
для десктопа, возможно, проще chkconfig sshd off из коробки.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 14:49 ` Alexei V. Mezin
@ 2009-07-21 15:04 ` Dmitriy Kruglikov
2009-07-21 17:54 ` Sergey
1 sibling, 0 replies; 13+ messages in thread
From: Dmitriy Kruglikov @ 2009-07-21 15:04 UTC (permalink / raw)
To: ALT Linux Community general discussions
21 июля 2009 г. 17:49 пользователь Alexei V. Mezin написал:
> И что, часто ли десктопные системы подвергаются таким атакам?
А на десктопных системах открывать порты вообще нужно только в случае,
если точно знаешь, что, кому и зачем.
Иначе просто закрыть извне все ...
> Но таки да, после 3 попыток дроп на пару минут может и пригодиться.
> Хотя для десктопа, возможно, проще chkconfig sshd off из коробки.
sshutout рулит ...
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 14:49 ` Alexei V. Mezin
2009-07-21 15:04 ` Dmitriy Kruglikov
@ 2009-07-21 17:54 ` Sergey
2009-07-21 22:31 ` Alexei V. Mezin
1 sibling, 1 reply; 13+ messages in thread
From: Sergey @ 2009-07-21 17:54 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Tuesday 21 July 2009, Alexei V. Mezin wrote:
> И что, часто ли десктопные системы подвергаются таким атакам? Наблюдения
> показывают, что еженощные (с часу до двух по Мск) 5-минутные "атаки" с
> китайских адресов, при которых пытаются подобрать пароль root'а, не
> сильно напрягают машину.
На самом деле не только рута. Ну и трафик это может создавать относительно
заметный. Для безлимитных тарифов это сейчас не очень критично, но раньше
было заметно для пользователей с не очень большим трафиком.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 17:54 ` Sergey
@ 2009-07-21 22:31 ` Alexei V. Mezin
2009-07-22 6:38 ` Sergey
0 siblings, 1 reply; 13+ messages in thread
From: Alexei V. Mezin @ 2009-07-21 22:31 UTC (permalink / raw)
To: community
Sergey пишет:
> Ну и трафик это может создавать относительно
> заметный. Для безлимитных тарифов это сейчас не очень критично, но раньше
> было заметно для пользователей с не очень большим трафиком.
>
Посколько пакеты дропаются на самом конечном хосте, сервера провайдера
они уже проходят. И биллинг запросто может насчитать траффик, даже если
комп у пользователя уже выключен месяц как. Прецеденты были.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 22:31 ` Alexei V. Mezin
@ 2009-07-22 6:38 ` Sergey
0 siblings, 0 replies; 13+ messages in thread
From: Sergey @ 2009-07-22 6:38 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Wednesday 22 July 2009, Alexei V. Mezin wrote:
> > Ну и трафик это может создавать относительно
> > заметный. Для безлимитных тарифов это сейчас не очень критично, но
> > раньше было заметно для пользователей с не очень большим трафиком.
>
> Посколько пакеты дропаются на самом конечном хосте, сервера провайдера
> они уже проходят. И биллинг запросто может насчитать траффик, даже если
> комп у пользователя уже выключен месяц как.
Я в курсе, причём со стороны провайдера в курсе. Дело в другом. После
того, как червячка обламывают дропом на минуту, он уходит перебирать
пароли в другое место и, если и возвращается обратно, то очень не скоро.
Дни, а то и недели. А когда наблюдал за своим рабочим компьютером, я
вообще не видел, чтобы возвращались.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 13:39 ` Dmitriy Kruglikov
2009-07-21 14:49 ` Alexei V. Mezin
@ 2009-07-21 17:45 ` Sergey
1 sibling, 0 replies; 13+ messages in thread
From: Sergey @ 2009-07-21 17:45 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Tuesday 21 July 2009, Dmitriy Kruglikov wrote:
> > -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
> ...
> Это вам, мистер, еще не приходилось наблюдать,
> как во время атаки на SSH блокируется все остальное :)
Да ладно ?! :-)
> Или вам самому нужно зайти на сервер в то время, как его кто-то атакует ...
Вот как раз это и поможет.
--
С уважением, Сергей
a_s_y@sama.ru
PS: таки да, я могу сервер и на граничных маршрутизаторах закрыть, чтобы на него
залезть. ;-)
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 8:37 ` Alexei V. Mezin
2009-07-21 12:31 ` Sergey
@ 2009-07-21 16:16 ` hisbreht
2009-07-21 16:56 ` Dmitriy Khanzhin
1 sibling, 1 reply; 13+ messages in thread
From: hisbreht @ 2009-07-21 16:16 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Tuesday 21 July 2009 12:37:09 Alexei V. Mezin wrote:
> hisbreht@rambler.ru пишет:
> > 1. Почему в дистрибутивах Alt Linux отсутствует начальная настройка
> > правил брандмауэра
> Потому что они не нужны. На безопасность десктопной системы они не
> влияют, а к серверу должен прилагаться мозг с руками (он же админ), с
> помощью которого должна решаться конкретная задача.
Почему не нужны? Одно дело, начинать писать правила с нуля, другое -
отталкиваться от некоторого минимального набора. Конечно, заготовку можно
взять и из другого источника, но было бы приятно, если бы оно было в
дистрибутиве. Собственно именно с этой точки зрения оно меня интересовало.
> > и примеры настроек для типовых ситуаций (ppp0 + eth0, например).
>
> Что такое "типовая настройка"? ppp0 это у вас аналоговый модем с
> dial-up, а eth0 это интерфейс, смотрящий на второй комп в комнате? Или
> может eth0 это интерфейс в локалку местного провайдера, а ppp0 это
Хорошо, неверно выразился. На самом деле, типовых конфигураций не так уж и
много (с точностью до имен интерфейсов). Опять же, все с той же целью, чтобы
в качестве отправной точки использовать готовый шаблон, дорисовав в нужное
место некоторое количество новых правил/прибив некоторое количество старых.
--
Виктор.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 16:16 ` hisbreht
@ 2009-07-21 16:56 ` Dmitriy Khanzhin
2009-07-22 16:18 ` hisbreht
0 siblings, 1 reply; 13+ messages in thread
From: Dmitriy Khanzhin @ 2009-07-21 16:56 UTC (permalink / raw)
To: ALT Linux Community general discussions
hisbreht@rambler.ru пишет:
>>> 1. Почему в дистрибутивах Alt Linux отсутствует начальная настройка
>>> правил брандмауэра
>
Примеры настройки
$ rpm -ql rp-pppoe-client | grep firewall
/etc/ppp/firewall-masq
/etc/ppp/firewall-masq-iptables
/etc/ppp/firewall-standalone
/etc/ppp/firewall-standalone-iptables
Не?
--
Rgrds, jinn.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] немного мыслей по брандмауэру
2009-07-21 16:56 ` Dmitriy Khanzhin
@ 2009-07-22 16:18 ` hisbreht
0 siblings, 0 replies; 13+ messages in thread
From: hisbreht @ 2009-07-22 16:18 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Tuesday 21 July 2009 20:56:42 Dmitriy Khanzhin wrote:
> hisbreht@rambler.ru пишет:
> >>> 1. Почему в дистрибутивах Alt Linux отсутствует начальная настройка
> >>> правил брандмауэра
>
> Примеры настройки
> $ rpm -ql rp-pppoe-client | grep firewall
> /etc/ppp/firewall-masq
Похоже на правду, будем посмотреть.
Сам в этом месте посмотреть не догадался.
--
Виктор.
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2009-07-22 16:18 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-07-20 19:53 [Comm] немного мыслей по брандмауэру hisbreht
2009-07-21 8:37 ` Alexei V. Mezin
2009-07-21 12:31 ` Sergey
2009-07-21 13:39 ` Dmitriy Kruglikov
2009-07-21 14:49 ` Alexei V. Mezin
2009-07-21 15:04 ` Dmitriy Kruglikov
2009-07-21 17:54 ` Sergey
2009-07-21 22:31 ` Alexei V. Mezin
2009-07-22 6:38 ` Sergey
2009-07-21 17:45 ` Sergey
2009-07-21 16:16 ` hisbreht
2009-07-21 16:56 ` Dmitriy Khanzhin
2009-07-22 16:18 ` hisbreht
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git