From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Comment: RFC 2476 MSA function at mx18.yandex.ru logged sender identity as: vova1971 Date: Mon, 28 Mar 2005 17:20:37 +0400 From: =?koi8-r?B?98zBxMnNydIg59XTxdc=?= To: community@altlinux.ru Subject: Re: =?koi8-r?B?W0NvbW1dIFJlOiBpcHRhYmxlcywgcG9ydCAwIMkgU3RlYWx0aCAoYmxvY2tl?= =?koi8-r?B?ZCBwb3J0cywgUkVKRUNUKQ==?= In-Reply-To: <20050327172620.GY17512@osdn.org.ua> References: <20050327172620.GY17512@osdn.org.ua> <20050327160634.GA3615@lks.home> Message-ID: Content-Type: text/plain; format=flowed; delsp=yes; charset=koi8-r MIME-Version: 1.0 Content-Transfer-Encoding: 8bit User-Agent: Opera M2(BETA2)/8.0 (Linux, build 987) X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 28 Mar 2005 13:24:19 -0000 Archived-At: List-Archive: List-Post: On Sun, 27 Mar 2005 21:26:20 +0400, Michael Shigorin wrote: > On Sun, Mar 27, 2005 at 08:35:31PM +0400, Владимир Гусев wrote: >> >не факт, например, если нужен доступ извне к какой-нибудь >> >службе, то зачем ее закрывать. >> Например? SSH ? Если бы у меня дома был бы статич. IP, то я >> прописал бы правило на шлюз для моего входе извне.. а так как >> у меня динамич. адрес, то я не знаю, стоит ли оставлять >> открытым SSH. > > ...несколько сторонняя информация, но если грызут сомнения при > осознанной необходимости -- то есть такая штука knock. Кажется, > отправляли в Sisyphus... > Я вот абсолютно ничего не пойму :( на работе на прошлой неделе сделал самую наипростейшую настройку iptables. Вот содержимое /etc/sysconfig/iptables на работе (смешнее некуда): [root@gate sysconfig]# cat iptables # Generated by iptables-save v1.2.11 on Tue Dec 21 11:01:31 2004 *filter :INPUT DROP [73687:15581228] :FORWARD ACCEPT [2619621:1269648693] :OUTPUT ACCEPT [3146:430792] [3027:183780] -A INPUT -s 192.168.1.0/255.255.255.0 -d 192.168.1.100 -p tcp -m tcp --dport 22 -j ACCEPT [0:0] -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP COMMIT # Completed on Tue Dec 21 11:01:31 2004 # Generated by iptables-save v1.2.11 on Tue Dec 21 11:01:31 2004 *nat :PREROUTING ACCEPT [218141:23002060] :POSTROUTING ACCEPT [3:210] :OUTPUT ACCEPT [3:210] [143096:7350896] -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 62.118.0.130 COMMIT # Completed on Tue Dec 21 11:01:31 2004 После домашнего мозгового штурма вроде бы создал более приличную ( и более осознанную) конфигурацию (правда без цепи nat - попробовал дома, там сетки нет): [root@vova init.d]# iptables-save # Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005 *nat :PREROUTING ACCEPT [8499:459917] :POSTROUTING ACCEPT [608:33632] :OUTPUT ACCEPT [608:33632] COMMIT # Completed on Sun Mar 27 23:09:51 2005 # Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005 *mangle :PREROUTING ACCEPT [15027:4760071] :INPUT ACCEPT [102486:70177185] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [7815:721602] :POSTROUTING ACCEPT [86795:6127752] COMMIT # Completed on Sun Mar 27 23:09:51 2005 # Generated by iptables-save v1.3.1 on Sun Mar 27 23:09:51 2005 *filter :INPUT DROP [6762:374454] :FORWARD DROP [0:0] :OUTPUT ACCEPT [7718:716082] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp -- sport 443 -j ACCEPT -A INPUT -m state --state INVALID,NEW -j REJECT --reject-with icmp- port-unreachable -A OUTPUT -o lo -j ACCEPT COMMIT # Completed on Sun Mar 27 23:09:51 2005 Первый вариант, казалось бы - чушь... ОДНАКО тест по https:/ /grc.com/x/ne.dll?bh0bkyd2 показал, что ПЕРВЫЙ ВАРИАНТ полностью прошел тест Stealth !! Все 1056 портов... А второй вариант, хоть и закрыл все порты, но невидимы далеко не все... ВОПРОС - почему работает первый вариант и насколько он правилен, и почему он оказался такой надежный?????? -- С уважением, Владимир Гусев