* [Comm] Iptables для модемщика
@ 2003-09-13 10:31 Николай
2003-09-13 14:07 ` Alexei Takaseev
2003-09-14 6:16 ` [Comm] " Michael Shigorin
0 siblings, 2 replies; 12+ messages in thread
From: Николай @ 2003-09-13 10:31 UTC (permalink / raw)
To: community
Здравствуйте.
Давно и упорно мучаюсь с настройкой файеволла под linux, но
пока не очень успешно (разве только с помощью guarddog'a, но то не
считается) и тут недавно наткнулся на www.xakep.ru на статью Iptables
для модемщика, так вот хотелось бы узнать у секущих в этом деле,
насколько там все грамотно...
--
С уважением,
Николай
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Iptables для модемщика
2003-09-13 10:31 [Comm] Iptables для модемщика Николай
@ 2003-09-13 14:07 ` Alexei Takaseev
2003-09-14 6:16 ` [Comm] " Michael Shigorin
1 sibling, 0 replies; 12+ messages in thread
From: Alexei Takaseev @ 2003-09-13 14:07 UTC (permalink / raw)
To: ALT Linux Community
On Sat, 13 Sep 2003 14:31:04 +0400
Николай <tuxmail@mail.ru> wrote:
> Здравствуйте.
> Давно и упорно мучаюсь с настройкой файеволла под linux, но
> пока не очень успешно (разве только с помощью guarddog'a, но то
> не считается) и тут недавно наткнулся на www.xakep.ru на статью
> Iptables для модемщика, так вот хотелось бы узнать у секущих в
> этом деле, насколько там все грамотно...
http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html
Грамотнее этого найти будет очень сложно.
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Comm] Re: Iptables для модемщика
2003-09-13 10:31 [Comm] Iptables для модемщика Николай
2003-09-13 14:07 ` Alexei Takaseev
@ 2003-09-14 6:16 ` Michael Shigorin
2003-09-14 19:03 ` Николай
1 sibling, 1 reply; 12+ messages in thread
From: Michael Shigorin @ 2003-09-14 6:16 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 428 bytes --]
On Sat, Sep 13, 2003 at 02:31:04PM +0400, Николай wrote:
> считается) и тут недавно наткнулся на www.xakep.ru на статью
> Iptables для модемщика, так вот хотелось бы узнать у секущих в
> этом деле, насколько там все грамотно...
Приведите URL, что ли.
PS: хотя может и не стоит: обычный уровень тамошних опусов --
ниже плинтуса.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re: Iptables для модемщика
2003-09-14 6:16 ` [Comm] " Michael Shigorin
@ 2003-09-14 19:03 ` Николай
2003-09-15 15:38 ` Michael Shigorin
0 siblings, 1 reply; 12+ messages in thread
From: Николай @ 2003-09-14 19:03 UTC (permalink / raw)
To: Michael Shigorin
Здравствуйте, Michael.
Вы писали 14 сентября 2003 г., 10:16:51:
MS> On Sat, Sep 13, 2003 at 02:31:04PM +0400, Николай wrote:
>> считается) и тут недавно наткнулся на www.xakep.ru на статью
>> Iptables для модемщика, так вот хотелось бы узнать у секущих в
>> этом деле, насколько там все грамотно...
MS> Приведите URL, что ли.
Вот, пожайлуста:
http://www.xakep.ru/post/19729/default.htm
просто читая http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html
я так толком и не понял как делать порты невидимыми только если Ttl-inc.txt
--
С уважением,
Николай
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Comm] Re: Iptables для модемщика
2003-09-14 19:03 ` Николай
@ 2003-09-15 15:38 ` Michael Shigorin
2003-09-16 17:33 ` Sergey Lizogub
2003-09-16 22:11 ` Николай
0 siblings, 2 replies; 12+ messages in thread
From: Michael Shigorin @ 2003-09-15 15:38 UTC (permalink / raw)
To: community
On Sun, Sep 14, 2003 at 11:03:24PM +0400, Николай wrote:
> MS> Приведите URL, что ли.
> http://www.xakep.ru/post/19729/default.htm
>>>
Было все хорошо, но после месяца - двух использования я ради
интереса выполнил nmap 127.0.0.1. И что я вижу:
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1592 ports scanned but not shown below are in state: closed)
Port State Service
27665/tcp open Trinoo_Master
31337/tcp open Elite
54320/tcp open bo2k
<<<
Думаю, дальнейшие комментарии излишни.
Похоже, ни LOR, ни xakep.ru так никогда ничем и не станут...
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re: Iptables для модемщика
2003-09-16 17:33 ` Sergey Lizogub
@ 2003-09-15 19:58 ` Andrew Dunets
2003-09-22 16:49 ` Michael Shigorin
1 sibling, 0 replies; 12+ messages in thread
From: Andrew Dunets @ 2003-09-15 19:58 UTC (permalink / raw)
To: community
On Tue, 16 Sep 2003 21:33:58 +0400
Sergey Lizogub <linthong@mail.ru> wrote:
> А может быть кто-нибудь всё-же поделится своей конфигурацией -
> очень хочется иметь нечто рабочее из "хороших рук", тем более,
> что малоопытных и начинающих модемщиков в рассылке много. Или для
> модемщика это всё не актуально (динамический IP-адрес,
> непредсказуемое и не очень длительное непрерывное нахождение в
> интернете и т.д.)?
У меня сделано вот так. Блокируются все входящие соединения и результат
пишется в лог.
## Insert connection-tracking modules (not needed if built into kernel).
# insmod ip_conntrack
# insmod ip_conntrack_ftp
## Create chain which blocks new connections, except if coming from
#inside.
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j LOG --log-prefix '"Dropping conections "'
iptables -A block -j DROP
## Jump to that chain from INPUT chains.
iptables -A INPUT -j block
С уважением,
Андрей.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re: Iptables для модемщика
2003-09-15 15:38 ` Michael Shigorin
@ 2003-09-16 17:33 ` Sergey Lizogub
2003-09-15 19:58 ` Andrew Dunets
2003-09-22 16:49 ` Michael Shigorin
2003-09-16 22:11 ` Николай
1 sibling, 2 replies; 12+ messages in thread
From: Sergey Lizogub @ 2003-09-16 17:33 UTC (permalink / raw)
To: community
Mon, 15 Sep 2003 18:38:59 +0300
Michael Shigorin <mike@osdn.org.ua> Вы писали:
>
> Похоже, ни LOR, ни xakep.ru так никогда ничем и не станут...
>
А может быть кто-нибудь всё-же поделится своей конфигурацией -
очень хочется иметь нечто рабочее из "хороших рук", тем более,
что малоопытных и начинающих модемщиков в рассылке много. Или для
модемщика это всё не актуально (динамический IP-адрес,
непредсказуемое и не очень длительное непрерывное нахождение в
интернете и т.д.)?
С уважением,
Сергей Лизогуб
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re: Iptables для модемщика
2003-09-15 15:38 ` Michael Shigorin
2003-09-16 17:33 ` Sergey Lizogub
@ 2003-09-16 22:11 ` Николай
2003-09-17 9:37 ` Alexey Borovskoy
` (2 more replies)
1 sibling, 3 replies; 12+ messages in thread
From: Николай @ 2003-09-16 22:11 UTC (permalink / raw)
To: Michael Shigorin
Здравствуйте, Michael.
Вы писали 15 сентября 2003 г., 19:38:59:
MS> On Sun, Sep 14, 2003 at 11:03:24PM +0400, Николай wrote:
>> MS> Приведите URL, что ли.
>> http://www.xakep.ru/post/19729/default.htm
>>>>
MS> Было все хорошо, но после месяца - двух использования я ради
MS> интереса выполнил nmap 127.0.0.1. И что я вижу:
MS> Interesting ports on localhost.localdomain (127.0.0.1):
MS> (The 1592 ports scanned but not shown below are in state: closed)
MS> Port State Service
MS> 27665/tcp open Trinoo_Master
MS> 31337/tcp open Elite
MS> 54320/tcp open bo2k
MS> <<<
MS> Думаю, дальнейшие комментарии излишни.
м-да жалко а я то уж размечтался реальные правила, ладно бум
штудировать дальше iptables tutorial , тока объясните, порт невидимый
делается с помощью reject или нет??
--
С уважением,
Николай mailto:tuxmail@mail.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re: Iptables для модемщика
2003-09-16 22:11 ` Николай
@ 2003-09-17 9:37 ` Alexey Borovskoy
2003-09-17 12:39 ` Alexei Takaseev
2003-09-22 17:21 ` Michael Shigorin
2 siblings, 0 replies; 12+ messages in thread
From: Alexey Borovskoy @ 2003-09-17 9:37 UTC (permalink / raw)
To: community
* 17 Сентябрь 2003 11:11 Николай <tuxmail@mail.ru>
> м-да жалко а я то уж размечтался реальные правила, ладно бум
> штудировать дальше iptables tutorial , тока объясните, порт
> невидимый делается с помощью reject или нет??
-j REJECT отсылает обратно ответ, что пакет был дропнут.
-j DROP просто молча грохает пакет и никому ничего не говорит.
--
Алексей.
JID:alb@jabber.ru.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re: Iptables для модемщика
2003-09-16 22:11 ` Николай
2003-09-17 9:37 ` Alexey Borovskoy
@ 2003-09-17 12:39 ` Alexei Takaseev
2003-09-22 17:21 ` Michael Shigorin
2 siblings, 0 replies; 12+ messages in thread
From: Alexei Takaseev @ 2003-09-17 12:39 UTC (permalink / raw)
To: ALT Linux Community
On Wed, 17 Sep 2003 02:11:46 +0400
Николай <tuxmail@mail.ru> wrote:
> >> MS> Приведите URL, что ли.
> >> http://www.xakep.ru/post/19729/default.htm
>
> >>>>
> MS> Было все хорошо, но после месяца - двух использования я
> MS> ради интереса выполнил nmap 127.0.0.1. И что я вижу:
> MS> Interesting ports on localhost.localdomain (127.0.0.1):
> MS> (The 1592 ports scanned but not shown below are in state:
> MS> closed) Port State Service
> MS> 27665/tcp open Trinoo_Master
> MS> 31337/tcp open Elite
> MS> 54320/tcp open bo2k
> MS> <<<
>
> MS> Думаю, дальнейшие комментарии излишни.
>
> м-да жалко а я то уж размечтался реальные правила, ладно бум
> штудировать дальше iptables tutorial , тока объясните, порт
> невидимый делается с помощью reject или нет??
-J DROP
Пользоваться REJECT не сильно советую, так как через него было
возможно организовать при желании DoS.
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Comm] Re: Iptables для модемщика
2003-09-16 17:33 ` Sergey Lizogub
2003-09-15 19:58 ` Andrew Dunets
@ 2003-09-22 16:49 ` Michael Shigorin
1 sibling, 0 replies; 12+ messages in thread
From: Michael Shigorin @ 2003-09-22 16:49 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 796 bytes --]
On Tue, Sep 16, 2003 at 09:33:58PM +0400, Sergey Lizogub wrote:
> > Похоже, ни LOR, ни xakep.ru так никогда ничем и не станут...
> А может быть кто-нибудь всё-же поделится своей конфигурацией -
> очень хочется иметь нечто рабочее из "хороших рук", тем более,
> что малоопытных и начинающих модемщиков в рассылке много. Или
> для модемщика это всё не актуально (динамический IP-адрес,
> непредсказуемое и не очень длительное непрерывное нахождение в
> интернете и т.д.)?
Гм. Примерно все то же, что и обычно минус NAT (если надо --
плюс MASQUERADE). "Что и обычно", судя по первым результатам
http://www.google.com/search?q=%22--reject-with+tcp-reset%22+dialup
-- вполне описано в литературе. :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Comm] Re: Iptables для модемщика
2003-09-16 22:11 ` Николай
2003-09-17 9:37 ` Alexey Borovskoy
2003-09-17 12:39 ` Alexei Takaseev
@ 2003-09-22 17:21 ` Michael Shigorin
2 siblings, 0 replies; 12+ messages in thread
From: Michael Shigorin @ 2003-09-22 17:21 UTC (permalink / raw)
To: Michael Shigorin
On Wed, Sep 17, 2003 at 02:11:46AM +0400, Николай wrote:
> штудировать дальше iptables tutorial , тока объясните, порт
> невидимый делается с помощью reject или нет??
--reject-with, см рфдом
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2003-09-22 17:21 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-09-13 10:31 [Comm] Iptables для модемщика Николай
2003-09-13 14:07 ` Alexei Takaseev
2003-09-14 6:16 ` [Comm] " Michael Shigorin
2003-09-14 19:03 ` Николай
2003-09-15 15:38 ` Michael Shigorin
2003-09-16 17:33 ` Sergey Lizogub
2003-09-15 19:58 ` Andrew Dunets
2003-09-22 16:49 ` Michael Shigorin
2003-09-16 22:11 ` Николай
2003-09-17 9:37 ` Alexey Borovskoy
2003-09-17 12:39 ` Alexei Takaseev
2003-09-22 17:21 ` Michael Shigorin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git