[Comm] iptables, port 0 и Stealth (blocked ports, REJECT)

[Comm] iptables, port 0 и Stealth (blocked ports, REJECT)

[Владимир Гусев]

Здравствуйте!

После напряжения одеревенелых мозгов выбрал для простейшего шлюза такой  
вариант настройки таблицы filter (как мне кажется, довольно простой и не  
очень дырявый).
Привожу фрагмент файла /etc/sysconfig/iptables, связанный с таблицей  
filter:

# Generated by iptables-save v1.3.1 on Sat Mar 26 19:18:44 2005
*filter
:INPUT DROP [2263:101724]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35025:2403004]
[329:17593] -A INPUT -i lo -j ACCEPT
[34426:37550376] -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j  
ACCEPT
[891:148096] -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
[9:756] -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
[66:4100] -A OUTPUT -o lo -j ACCEPT
COMMIT

То есть разрешение в обе стороны для lo и отфильтровка "своих" пакетов в  
протоколах tcp, udp и icmp (хотя можно было, наверное в одну строчку с "-p  
all") и глобальное DROP для цепочки INPUT.

Стал проверять на онлайн-сканнерах типа http://scan.sygatetech.com и  
https://grc.com/x/ne.dll?bh0bkyd2

Sygate в принципе остался доволен моей защитой по различным тестам, в т.ч.  
и Stealth, а Shields UP не совсем. Часть из сканируемых портов не Blocked,  
а Closed. И цветная диаграмма сканирования портов от 0 до 1055 была  
сине-зеленой (синий - Closed, зеленый - Blocked), один порт 0 - просто  
закрыт и потому виден (?? - см. лог ниже)). Порты с 1 по 266, 445 и с 1024  
по 1055 - Blocked, т.е. невидим, все остальное - closed.

Еще один stealth-тест:
GRC Port Authority Report created on UTC: 2005-03-26 at 16:30:26

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
                             119, 135, 139, 143, 389, 443, 445,
                             1002, 1024-1030, 1720, 5000

     0 Ports Open
     1 Ports Closed
    25 Ports Stealth
---------------------
    26 Ports Tested

NO PORTS were found to be OPEN.

The port found to be CLOSED was: 0

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                    - Received one or more unsolicited packets,
                    - NO Ping reply (ICMP Echo) was received.

После всего этого у меня возникли следующие вопросы

1. Что за порт 0 и как его закрывать?
2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до  
1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на  
диаграмме в зеленом цвете)?
3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении для  
простейшего шлюза с одной задачей - доступ в интернет для локальной сети.

-- 
С уважением, Владимир Гусев

Re: [Comm] iptables, port 0 и Stealth (blocked ports, REJECT)

[Владимир Гусев]

> После напряжения одеревенелых мозгов выбрал для простейшего шлюза такой  
> вариант настройки таблицы filter (как мне кажется, довольно простой и не  
> очень дырявый).
> Привожу фрагмент файла /etc/sysconfig/iptables, связанный с таблицей  
> filter:
>
> # Generated by iptables-save v1.3.1 on Sat Mar 26 19:18:44 2005
> *filter
> :INPUT DROP [2263:101724]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [35025:2403004]
> [329:17593] -A INPUT -i lo -j ACCEPT
> [34426:37550376] -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j  
> ACCEPT
> [891:148096] -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j  
> ACCEPT
> [9:756] -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
> [66:4100] -A OUTPUT -o lo -j ACCEPT
> COMMIT
>
> То есть разрешение в обе стороны для lo и отфильтровка "своих" пакетов в  
> протоколах tcp, udp и icmp (хотя можно было, наверное в одну строчку с  
> "-p all") и глобальное DROP для цепочки INPUT.
>
> Стал проверять на онлайн-сканнерах типа http://scan.sygatetech.com и  
> https://grc.com/x/ne.dll?bh0bkyd2
>
> Sygate в принципе остался доволен моей защитой по различным тестам, в  
> т.ч. и Stealth, а Shields UP не совсем. Часть из сканируемых портов не  
> Blocked, а Closed. И цветная диаграмма сканирования портов от 0 до 1055  
> была сине-зеленой (синий - Closed, зеленый - Blocked), один порт 0 -  
> просто закрыт и потому виден (?? - см. лог ниже)). Порты с 1 по 266, 445  
> и с 1024 по 1055 - Blocked, т.е. невидим, все остальное - closed.
>
> Еще один stealth-тест:
> GRC Port Authority Report created on UTC: 2005-03-26 at 16:30:26
>
> Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
>                              119, 135, 139, 143, 389, 443, 445,
>                              1002, 1024-1030, 1720, 5000
>
>      0 Ports Open
>      1 Ports Closed
>     25 Ports Stealth
> ---------------------
>     26 Ports Tested
>
> NO PORTS were found to be OPEN.
>
> The port found to be CLOSED was: 0
>
> Other than what is listed above, all ports are STEALTH.
>
> TruStealth: FAILED - NOT all tested ports were STEALTH,
>                     - Received one or more unsolicited packets,
>                     - NO Ping reply (ICMP Echo) was received.
>
> После всего этого у меня возникли следующие вопросы
>
> 1. Что за порт 0 и как его закрывать?
> 2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до  
> 1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на  
> диаграмме в зеленом цвете)?
> 3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении  
> для простейшего шлюза с одной задачей - доступ в интернет для локальной  
> сети.
>

Никто не посоветует ничего? Было бы интересно послушать мнения и советы..


-- 
С уважением, Владимир Гусев

[Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

[Konstantin A. Lepikhov]

Hi Владимир!

Saturday 26, at 08:38:29 PM you wrote:

> Еще один stealth-тест:
> GRC Port Authority Report created on UTC: 2005-03-26 at 16:30:26
> 
> Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
>                             119, 135, 139, 143, 389, 443, 445,
>                             1002, 1024-1030, 1720, 5000
> 
>     0 Ports Open
>     1 Ports Closed
>    25 Ports Stealth
> ---------------------
>    26 Ports Tested
> 
> NO PORTS were found to be OPEN.
> 
> The port found to be CLOSED was: 0
> 
> Other than what is listed above, all ports are STEALTH.
> 
> TruStealth: FAILED - NOT all tested ports were STEALTH,
>                    - Received one or more unsolicited packets,
>                    - NO Ping reply (ICMP Echo) was received.
> 
> После всего этого у меня возникли следующие вопросы
> 
> 1. Что за порт 0 и как его закрывать?
netstat -vatwun ?

> 2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до  
> 1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на  
> диаграмме в зеленом цвете)?
не факт, например, если нужен доступ извне к какой-нибудь службе, то зачем
ее закрывать.

> 3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении для  
> простейшего шлюза с одной задачей - доступ в интернет для локальной сети.
Лучше поставьте firehol и не мучайтесь.

PS Например, чего у меня показало после тестирования:

Results from scan of ports: 0-1055

    	     1 Ports Open
    	     1 Ports Closed
 	  1054 Ports Stealth
	 ---------------------
	  1056 Ports Tested

	  The port found to be OPEN was: 22

	  The port found to be CLOSED was: 113

	  Other than what is listed above, all ports are STEALTH.

	  TruStealth: FAILED - NOT all tested ports were STEALTH,
	                     - NO unsolicited packets were received,
                             - NO Ping reply (ICMP Echo) was received.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

Re: [Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

[Владимир Гусев]

>> 1. Что за порт 0 и как его закрывать?
> netstat -vatwun ?


Вы имели в виду сделать вывод команды?

[root@vova etc]# netstat -vatwun
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign  
Address             State
tcp        0      0 0.0.0.0:37                   
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:4239                 
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:111                  
0.0.0.0:*                   LISTEN
tcp        0      0 10.0.0.1:53                  
0.0.0.0:*                   LISTEN
tcp        0      0 127.0.0.1:53                 
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:22                   
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:2583                 
0.0.0.0:*                   LISTEN
tcp        0      0 127.0.0.1:953                
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:13756                
0.0.0.0:*                   LISTEN
tcp        0      0 10.0.0.1:2766                
128.180.196.141:4233        ESTABLISHED
tcp        0      0 10.0.0.1:2811                
66.90.102.128:80            ESTABLISHED
tcp        0      0 10.0.0.1:3139                
81.211.64.80:143            ESTABLISHED
tcp        0      0 10.0.0.1:5489                
205.188.8.8:5190            ESTABLISHED
udp        0      0 0.0.0.0:1024                0.0.0.0:*
udp        0      0 0.0.0.0:1414                0.0.0.0:*
udp        0      0 0.0.0.0:4239                0.0.0.0:*
udp        0      0 0.0.0.0:2583                0.0.0.0:*
udp        0      0 10.0.0.1:53                 0.0.0.0:*
udp        0      0 127.0.0.1:53                0.0.0.0:*
udp        0      0 0.0.0.0:1369                0.0.0.0:*
udp        0      0 0.0.0.0:111                 0.0.0.0:*
udp        0      0 10.0.0.1:123                0.0.0.0:*
udp        0      0 127.0.0.1:123               0.0.0.0:*
udp        0      0 0.0.0.0:123                 0.0.0.0:*
raw        0      0 0.0.0.0:1                   0.0.0.0:*

>> 2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до
>> 1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на
>> диаграмме в зеленом цвете)?
> не факт, например, если нужен доступ извне к какой-нибудь службе, то  
> зачем
> ее закрывать.

Например? SSH ? Если бы у меня дома был бы статич. IP, то я прописал бы  
правило на шлюз для моего входе извне.. а так как у меня динамич. адрес,  
то я не знаю, стоит ли оставлять открытым SSH.

По ходу использования такой простой настройки iptables (точнее таблицы  
filter) выявил следующее - невозможен доступ к личным кабинетам некоторых  
интернет-сервисов, например к личному кабинету на сайте провайдера, вход в  
GMail через вэб-интерфейс - я так понимаю. что посылается некий сертификат  
"доверия" сервера, который является NEW по типу пакета. Как с этим быть?

>> 3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении  
>> для
>> простейшего шлюза с одной задачей - доступ в интернет для локальной  
>> сети.
> Лучше поставьте firehol и не мучайтесь.

Firehol ? Не слыхал о таком.. Посмотрю, но если это графич. "приблуда"  
типа guarddog или Firewall Builder, то они меня только путают.. Еле-еле  
начинаю понимать суть вещей..


-- 
С уважением, Владимир Гусев

[Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

[Konstantin A. Lepikhov]

Hi Владимир!

Sunday 27, at 08:35:31 PM you wrote:

> >>1. Что за порт 0 и как его закрывать?
> >netstat -vatwun ?
> 
> 
> Вы имели в виду сделать вывод команды?
> 
> [root@vova etc]# netstat -vatwun
<skip>
> raw        0      0 0.0.0.0:1                   0.0.0.0:*
вот он на него наверное и ругается

> 
> >>2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до
> >>1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на
> >>диаграмме в зеленом цвете)?
> >не факт, например, если нужен доступ извне к какой-нибудь службе, то  
> >зачем
> >ее закрывать.
> 
> Например? SSH ? Если бы у меня дома был бы статич. IP, то я прописал бы  
> правило на шлюз для моего входе извне.. а так как у меня динамич. адрес,  
> то я не знаю, стоит ли оставлять открытым SSH.
если у вас нет возможности определить извне динамический адрес своей
машины (у меня такая возможность есть ;) то вам это и не надо. 

> 
> По ходу использования такой простой настройки iptables (точнее таблицы  
> filter) выявил следующее - невозможен доступ к личным кабинетам некоторых  
> интернет-сервисов, например к личному кабинету на сайте провайдера, вход в  
> GMail через вэб-интерфейс - я так понимаю. что посылается некий сертификат  
> "доверия" сервера, который является NEW по типу пакета. Как с этим быть?
поставить firehol :)

<skip>
> Firehol ? Не слыхал о таком.. Посмотрю, но если это графич. "приблуда"  
> типа guarddog или Firewall Builder, то они меня только путают.. Еле-еле  
> начинаю понимать суть вещей..
firehol.sf.net 
Он не графический, но очень удобный и понятный в конфигурировании. По,
крайней мере, рабочую конфигурацию для firewall там можно поднять за
несколько минут без особого знания команд iptables, просто
воспользовавшись приложенными примерами.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

[Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

[Michael Shigorin]

On Sun, Mar 27, 2005 at 08:35:31PM +0400, Владимир Гусев wrote:
> >не факт, например, если нужен доступ извне к какой-нибудь
> >службе, то  зачем ее закрывать.
> Например? SSH ? Если бы у меня дома был бы статич. IP, то я
> прописал бы  правило на шлюз для моего входе извне.. а так как
> у меня динамич. адрес,  то я не знаю, стоит ли оставлять
> открытым SSH.

...несколько сторонняя информация, но если грызут сомнения при
осознанной необходимости -- то есть такая штука knock.  Кажется,
отправляли в Sisyphus...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

[Владимир Гусев]

>> [root@vova etc]# netstat -vatwun
>> raw        0      0 0.0.0.0:1                   0.0.0.0:*
> вот он на него наверное и ругается

Наверное нужно отключить эту службу за ненадобностью...

>> >>2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до
>> >>1055 были бы BLOCKED (Stealth)>не факт, например, если нужен доступ  
>> извне к какой-нибудь службе, то
>> >зачем
>> >ее закрывать.
>>
>> Например? SSH ? Если бы у меня дома был бы статич. IP, то я прописал бы
>> правило на шлюз для моего входа извне.. а так как у меня динамич. адрес,
>> то я не знаю, стоит ли оставлять открытым SSH.
> если у вас нет возможности определить извне динамический адрес своей
> машины (у меня такая возможность есть ;) то вам это и не надо.
>
>>
>> По ходу использования такой простой настройки iptables (точнее таблицы
>> filter) выявил следующее - невозможен доступ к личным кабинетам  
>> некоторых
>> интернет-сервисов, например к личному кабинету на сайте провайдера,  
>> вход в
>> GMail через вэб-интерфейс - я так понимаю. что посылается некий  
>> сертификат
>> "доверия" сервера, который является NEW по типу пакета. Как с этим быть?
> поставить firehol :)

Хм.. хочется же понять суть... Наверное что-то с https (443).. Но как  
тогда быть? Открывать этот порт и для NEW?

> firehol.sf.net
> Он не графический, но очень удобный и понятный в конфигурировании. По,
> крайней мере, рабочую конфигурацию для firewall там можно поднять за
> несколько минут без особого знания команд iptables, просто
> воспользовавшись приложенными примерами.

Ну не знаю.. Попробую. однако даже если с его помощью будет все хорошо,  
останется чувство морального неудовлетворения... Хочется же самому дойти  
до всего:)

-- 
С уважением, Владимир Гусев

Re: [Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

[Владимир Гусев]

On Sun, 27 Mar 2005 21:26:20 +0400, Michael Shigorin <mike@osdn.org.ua> wrote:

> On Sun, Mar 27, 2005 at 08:35:31PM +0400, Владимир Гусев wrote:
>> >не факт, например, если нужен доступ извне к какой-нибудь
>> >службе, то  зачем ее закрывать.
>> Например? SSH ? Если бы у меня дома был бы статич. IP, то я
>> прописал бы  правило на шлюз для моего входе извне.. а так как
>> у меня динамич. адрес,  то я не знаю, стоит ли оставлять
>> открытым SSH.
>
> ...несколько сторонняя информация, но если грызут сомнения при
> осознанной необходимости -- то есть такая штука knock.  Кажется,
> отправляли в Sisyphus...
>

Я вот абсолютно ничего не пойму :( на работе на прошлой неделе сделал самую наипростейшую настройку iptables. Вот содержимое /etc/sysconfig/iptables на работе (смешнее некуда):

[root@gate sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Tue Dec 21 11:01:31 2004
*filter
:INPUT DROP [73687:15581228]
:FORWARD ACCEPT [2619621:1269648693]
:OUTPUT ACCEPT [3146:430792]
[3027:183780] -A INPUT -s 192.168.1.0/255.255.255.0 -d 192.168.1.100 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP
COMMIT
# Completed on Tue Dec 21 11:01:31 2004
# Generated by iptables-save v1.2.11 on Tue Dec 21 11:01:31 2004
*nat
:PREROUTING ACCEPT [218141:23002060]
:POSTROUTING ACCEPT [3:210]
:OUTPUT ACCEPT [3:210]
[143096:7350896] -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 62.118.0.130
COMMIT
# Completed on Tue Dec 21 11:01:31 2004

После домашнего мозгового штурма вроде бы создал более приличную ( и более осознанную) конфигурацию (правда без цепи nat - попробовал дома, там сетки нет):

[root@vova init.d]# iptables-save
# Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005
*nat
:PREROUTING ACCEPT [8499:459917]
:POSTROUTING ACCEPT [608:33632]
:OUTPUT ACCEPT [608:33632]
COMMIT
# Completed on Sun Mar 27 23:09:51 2005
# Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005
*mangle
:PREROUTING ACCEPT [15027:4760071]
:INPUT ACCEPT [102486:70177185]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7815:721602]
:POSTROUTING ACCEPT [86795:6127752]
COMMIT
# Completed on Sun Mar 27 23:09:51 2005
# Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005
*filter
:INPUT DROP [6762:374454]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7718:716082]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --
sport 443 -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j REJECT --reject-with icmp-
port-unreachable
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Sun Mar 27 23:09:51 2005

Первый вариант, казалось бы - чушь... ОДНАКО тест по  https:/
/grc.com/x/ne.dll?bh0bkyd2 показал, что ПЕРВЫЙ ВАРИАНТ полностью прошел тест Stealth !! Все 1056 портов... А второй вариант, хоть и закрыл все порты, но невидимы далеко не все...

ВОПРОС - почему работает первый вариант и насколько он правилен, и почему он оказался такой надежный??????

-- 
С уважением, Владимир Гусев

[Comm] FPROFTPD

[Наумкин Сергей]

Доброго времени суток всем!
Который день, мучаюсь с ProFTPd.
Возникла такая задача.
Немогу никак заставить его работать с дериктивой AuthUserFile.
Отключаю аутентификацию PAM, а он все равно берет именя пользователей
и пароли из /etc/passwd и тд.
А теперь по порядку.
создаю файл ftpserveruser(такойже структуры как и /etc/passwd) User:Password:Uid:Gid::/userdir/user:/dev/null
AuthPAM off
AuthUserFile ftpserveruser
DefaultRoot /userdir/~
В итоге он ходит под реальными пользователями которые есть в системе,
а не под тем который создан в файле.
По идее шифровать пароли для протокола не имеет смысла так как они
передаются в Plain Text
Извиняюсь конечно за ламерство, Если кто может подскажите выход.



-- 
С уважением,
 Наумкин Сергей

Re: [Comm] FPROFTPD

[Genix]

Наумкин Сергей wrote:
> Доброго времени суток всем!
> Извиняюсь конечно за ламерство, Если кто может подскажите выход.

Предлагаю добавить в FAQ такой пункт:

Q: Почему меня все игнорируют в списках рассылки @altlinux?
A: Не начинайте новую тему кнопкой "ответить".

-- 
У каждого в башке свои тараканы...

Re: [Comm] FPROFTPD

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 378 bytes --]

* Genix <genix@> [050328 14:00]:
> Предлагаю добавить в FAQ такой пункт:

> Q: Почему меня все игнорируют в списках рассылки @altlinux?
> A: Не начинайте новую тему кнопкой "ответить".
Добавил.  Не в FAQ, но в fortunes-ALT ;-)

-- 
Regards, Sir Raorn.
-------------------
 Грамотное и безопасное программирование как-то плохо сочетается
с C/C++.
		-- vsl in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

[Владимир Гусев]

On Sun, 27 Mar 2005 21:26:20 +0400, Michael Shigorin <mike@osdn.org.ua> wrote:

> On Sun, Mar 27, 2005 at 08:35:31PM +0400, Владимир Гусев wrote:
>> >не факт, например, если нужен доступ извне к какой-нибудь
>> >службе, то  зачем ее закрывать.
>> Например? SSH ? Если бы у меня дома был бы статич. IP, то я
>> прописал бы  правило на шлюз для моего входе извне.. а так как
>> у меня динамич. адрес,  то я не знаю, стоит ли оставлять
>> открытым SSH.
>
> ...несколько сторонняя информация, но если грызут сомнения при
> осознанной необходимости -- то есть такая штука knock.  Кажется,
> отправляли в Sisyphus...
>

Я вот абсолютно ничего не пойму :( на работе на прошлой неделе сделал самую наипростейшую настройку iptables. Вот содержимое /etc/sysconfig/iptables на работе (смешнее некуда):

[root@gate sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Tue Dec 21 11:01:31 2004
*filter
:INPUT DROP [73687:15581228]
:FORWARD ACCEPT [2619621:1269648693]
:OUTPUT ACCEPT [3146:430792]
[3027:183780] -A INPUT -s 192.168.1.0/255.255.255.0 -d 192.168.1.100 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP
COMMIT
# Completed on Tue Dec 21 11:01:31 2004
# Generated by iptables-save v1.2.11 on Tue Dec 21 11:01:31 2004
*nat
:PREROUTING ACCEPT [218141:23002060]
:POSTROUTING ACCEPT [3:210]
:OUTPUT ACCEPT [3:210]
[143096:7350896] -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 62.118.0.130
COMMIT
# Completed on Tue Dec 21 11:01:31 2004

После домашнего мозгового штурма вроде бы создал более приличную ( и более осознанную) конфигурацию (правда без цепи nat - попробовал дома, там сетки нет):

[root@vova init.d]# iptables-save
# Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005
*nat
:PREROUTING ACCEPT [8499:459917]
:POSTROUTING ACCEPT [608:33632]
:OUTPUT ACCEPT [608:33632]
COMMIT
# Completed on Sun Mar 27 23:09:51 2005
# Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005
*mangle
:PREROUTING ACCEPT [15027:4760071]
:INPUT ACCEPT [102486:70177185]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7815:721602]
:POSTROUTING ACCEPT [86795:6127752]
COMMIT
# Completed on Sun Mar 27 23:09:51 2005
# Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005
*filter
:INPUT DROP [6762:374454]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7718:716082]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --
sport 443 -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j REJECT --reject-with icmp-
port-unreachable
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Sun Mar 27 23:09:51 2005

Первый вариант, казалось бы - чушь... ОДНАКО тест по  https:/
/grc.com/x/ne.dll?bh0bkyd2 показал, что ПЕРВЫЙ ВАРИАНТ полностью прошел тест Stealth !! Все 1056 портов... А второй вариант, хоть и закрыл все порты, но невидимы далеко не все...

ВОПРОС - почему работает первый вариант и насколько он правилен, и почему он оказался такой надежный??????

-- 
С уважением, Владимир Гусев

Re: [Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

[Владимир Гусев]

On Sun, 27 Mar 2005 21:26:20 +0400, Michael Shigorin <mike@osdn.org.ua> wrote:

> On Sun, Mar 27, 2005 at 08:35:31PM +0400, Владимир Гусев wrote:
>> >не факт, например, если нужен доступ извне к какой-нибудь
>> >службе, то  зачем ее закрывать.
>> Например? SSH ? Если бы у меня дома был бы статич. IP, то я
>> прописал бы  правило на шлюз для моего входе извне.. а так как
>> у меня динамич. адрес,  то я не знаю, стоит ли оставлять
>> открытым SSH.
>
> ...несколько сторонняя информация, но если грызут сомнения при
> осознанной необходимости -- то есть такая штука knock.  Кажется,
> отправляли в Sisyphus...
>

Я вот абсолютно ничего не пойму :( на работе на прошлой неделе сделал самую наипростейшую настройку iptables. Вот содержимое /etc/sysconfig/iptables на работе (смешнее некуда):

[root@gate sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Tue Dec 21 11:01:31 2004
*filter
:INPUT DROP [73687:15581228]
:FORWARD ACCEPT [2619621:1269648693]
:OUTPUT ACCEPT [3146:430792]
[3027:183780] -A INPUT -s 192.168.1.0/255.255.255.0 -d 192.168.1.100 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP
COMMIT
# Completed on Tue Dec 21 11:01:31 2004
# Generated by iptables-save v1.2.11 on Tue Dec 21 11:01:31 2004
*nat
:PREROUTING ACCEPT [218141:23002060]
:POSTROUTING ACCEPT [3:210]
:OUTPUT ACCEPT [3:210]
[143096:7350896] -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 62.118.0.130
COMMIT
# Completed on Tue Dec 21 11:01:31 2004

После домашнего мозгового штурма вроде бы создал более приличную ( и более осознанную) конфигурацию (правда без цепи nat - попробовал дома, там сетки нет):

[root@vova init.d]# iptables-save
# Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005
*nat
:PREROUTING ACCEPT [8499:459917]
:POSTROUTING ACCEPT [608:33632]
:OUTPUT ACCEPT [608:33632]
COMMIT
# Completed on Sun Mar 27 23:09:51 2005
# Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005
*mangle
:PREROUTING ACCEPT [15027:4760071]
:INPUT ACCEPT [102486:70177185]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7815:721602]
:POSTROUTING ACCEPT [86795:6127752]
COMMIT
# Completed on Sun Mar 27 23:09:51 2005
# Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005
*filter
:INPUT DROP [6762:374454]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7718:716082]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --
sport 443 -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j REJECT --reject-with icmp-
port-unreachable
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Sun Mar 27 23:09:51 2005

Первый вариант, казалось бы - чушь... ОДНАКО тест по  https:/
/grc.com/x/ne.dll?bh0bkyd2 показал, что ПЕРВЫЙ ВАРИАНТ полностью прошел тест Stealth !! Все 1056 портов... А второй вариант, хоть и закрыл все порты, но невидимы далеко не все...

ВОПРОС - почему работает первый вариант и насколько он правилен, и почему он оказался такой надежный??????

-- 
С уважением, Владимир Гусев

Re: [Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

[Владимир Гусев]

> Я вот абсолютно ничего не пойму :( на работе на прошлой неделе сделал  
> самую наипростейшую настройку iptables. Вот содержимое  
> /etc/sysconfig/iptables на работе (смешнее некуда):

> После домашнего мозгового штурма вроде бы создал более приличную ( и  
> более осознанную) конфигурацию (правда без цепи nat - попробовал дома,  
> там сетки нет):

> Первый вариант, казалось бы - чушь... ОДНАКО тест по  https:/
> /grc.com/x/ne.dll?bh0bkyd2 показал, что ПЕРВЫЙ ВАРИАНТ полностью прошел  
> тест Stealth !! Все 1056 портов... А второй вариант, хоть и закрыл все  
> порты, но невидимы далеко не все...
>
> ВОПРОС - почему работает первый вариант и насколько он правилен, и  
> почему он оказался такой надежный??????
>

Прошу откликнуться - я совсем заморочился, может все неправильно?


-- 
С уважением, Владимир Гусев