From: "Владимир Гусев" <vova1971@narod.ru> To: "ALT Linux Community" <community@altlinux.ru> Subject: [Comm] iptables, port 0 и Stealth (blocked ports, REJECT) Date: Sat, 26 Mar 2005 20:38:29 +0300 Message-ID: <op.sn89yfupglg102@post.cnt.ru> (raw) Здравствуйте! После напряжения одеревенелых мозгов выбрал для простейшего шлюза такой вариант настройки таблицы filter (как мне кажется, довольно простой и не очень дырявый). Привожу фрагмент файла /etc/sysconfig/iptables, связанный с таблицей filter: # Generated by iptables-save v1.3.1 on Sat Mar 26 19:18:44 2005 *filter :INPUT DROP [2263:101724] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [35025:2403004] [329:17593] -A INPUT -i lo -j ACCEPT [34426:37550376] -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT [891:148096] -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT [9:756] -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT [66:4100] -A OUTPUT -o lo -j ACCEPT COMMIT То есть разрешение в обе стороны для lo и отфильтровка "своих" пакетов в протоколах tcp, udp и icmp (хотя можно было, наверное в одну строчку с "-p all") и глобальное DROP для цепочки INPUT. Стал проверять на онлайн-сканнерах типа http://scan.sygatetech.com и https://grc.com/x/ne.dll?bh0bkyd2 Sygate в принципе остался доволен моей защитой по различным тестам, в т.ч. и Stealth, а Shields UP не совсем. Часть из сканируемых портов не Blocked, а Closed. И цветная диаграмма сканирования портов от 0 до 1055 была сине-зеленой (синий - Closed, зеленый - Blocked), один порт 0 - просто закрыт и потому виден (?? - см. лог ниже)). Порты с 1 по 266, 445 и с 1024 по 1055 - Blocked, т.е. невидим, все остальное - closed. Еще один stealth-тест: GRC Port Authority Report created on UTC: 2005-03-26 at 16:30:26 Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113, 119, 135, 139, 143, 389, 443, 445, 1002, 1024-1030, 1720, 5000 0 Ports Open 1 Ports Closed 25 Ports Stealth --------------------- 26 Ports Tested NO PORTS were found to be OPEN. The port found to be CLOSED was: 0 Other than what is listed above, all ports are STEALTH. TruStealth: FAILED - NOT all tested ports were STEALTH, - Received one or more unsolicited packets, - NO Ping reply (ICMP Echo) was received. После всего этого у меня возникли следующие вопросы 1. Что за порт 0 и как его закрывать? 2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до 1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на диаграмме в зеленом цвете)? 3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении для простейшего шлюза с одной задачей - доступ в интернет для локальной сети. -- С уважением, Владимир Гусев
next reply other threads:[~2005-03-26 17:38 UTC|newest] Thread overview: 14+ messages / expand[flat|nested] mbox.gz Atom feed top 2005-03-26 17:38 Владимир Гусев [this message] 2005-03-27 14:05 ` Владимир Гусев 2005-03-27 16:06 ` [Comm] " Konstantin A. Lepikhov 2005-03-27 16:35 ` Владимир Гусев 2005-03-27 16:59 ` Konstantin A. Lepikhov 2005-03-27 17:33 ` Владимир Гусев 2005-03-27 17:26 ` Michael Shigorin 2005-03-28 7:41 ` Владимир Гусев 2005-03-28 7:56 ` [Comm] FPROFTPD Наумкин Сергей 2005-03-28 9:58 ` Genix 2005-03-28 10:02 ` Alexey I. Froloff 2005-03-28 11:42 ` [Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT) Владимир Гусев 2005-03-28 19:34 ` Владимир Гусев 2005-03-28 13:20 ` Владимир Гусев
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=op.sn89yfupglg102@post.cnt.ru \ --to=vova1971@narod.ru \ --cc=community@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git