From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Comment: RFC 2476 MSA function at mx14.yandex.ru logged sender identity as: vova1971 Date: Sun, 27 Mar 2005 18:05:28 +0400 From: =?koi8-r?B?98zBxMnNydIg59XTxdc=?= To: community@altlinux.ru Subject: Re: =?koi8-r?B?W0NvbW1dIGlwdGFibGVzLCBwb3J0IDAgySBTdGVhbHRoIChibG9ja2VkIHBv?= =?koi8-r?B?cnRzLCBSRUpFQ1Qp?= References: Content-Type: text/plain; format=flowed; delsp=yes; charset=koi8-r MIME-Version: 1.0 Content-Transfer-Encoding: 8bit Message-ID: In-Reply-To: User-Agent: Opera M2(BETA3)/8.0 (Linux, build 1019) X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 27 Mar 2005 14:05:41 -0000 Archived-At: List-Archive: List-Post: > После напряжения одеревенелых мозгов выбрал для простейшего шлюза такой > вариант настройки таблицы filter (как мне кажется, довольно простой и не > очень дырявый). > Привожу фрагмент файла /etc/sysconfig/iptables, связанный с таблицей > filter: > > # Generated by iptables-save v1.3.1 on Sat Mar 26 19:18:44 2005 > *filter > :INPUT DROP [2263:101724] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [35025:2403004] > [329:17593] -A INPUT -i lo -j ACCEPT > [34426:37550376] -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j > ACCEPT > [891:148096] -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j > ACCEPT > [9:756] -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT > [66:4100] -A OUTPUT -o lo -j ACCEPT > COMMIT > > То есть разрешение в обе стороны для lo и отфильтровка "своих" пакетов в > протоколах tcp, udp и icmp (хотя можно было, наверное в одну строчку с > "-p all") и глобальное DROP для цепочки INPUT. > > Стал проверять на онлайн-сканнерах типа http://scan.sygatetech.com и > https://grc.com/x/ne.dll?bh0bkyd2 > > Sygate в принципе остался доволен моей защитой по различным тестам, в > т.ч. и Stealth, а Shields UP не совсем. Часть из сканируемых портов не > Blocked, а Closed. И цветная диаграмма сканирования портов от 0 до 1055 > была сине-зеленой (синий - Closed, зеленый - Blocked), один порт 0 - > просто закрыт и потому виден (?? - см. лог ниже)). Порты с 1 по 266, 445 > и с 1024 по 1055 - Blocked, т.е. невидим, все остальное - closed. > > Еще один stealth-тест: > GRC Port Authority Report created on UTC: 2005-03-26 at 16:30:26 > > Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113, > 119, 135, 139, 143, 389, 443, 445, > 1002, 1024-1030, 1720, 5000 > > 0 Ports Open > 1 Ports Closed > 25 Ports Stealth > --------------------- > 26 Ports Tested > > NO PORTS were found to be OPEN. > > The port found to be CLOSED was: 0 > > Other than what is listed above, all ports are STEALTH. > > TruStealth: FAILED - NOT all tested ports were STEALTH, > - Received one or more unsolicited packets, > - NO Ping reply (ICMP Echo) was received. > > После всего этого у меня возникли следующие вопросы > > 1. Что за порт 0 и как его закрывать? > 2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до > 1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на > диаграмме в зеленом цвете)? > 3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении > для простейшего шлюза с одной задачей - доступ в интернет для локальной > сети. > Никто не посоветует ничего? Было бы интересно послушать мнения и советы.. -- С уважением, Владимир Гусев