forum.opennet.ru

Форум Информационная безопасность (Linux iptables, ipchains)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Зацените iptables, d1mak (ok), 24-Дек-09, (0) [смотреть все]

gt оверквотинг удален Тогда эти правила надо в INPUT, но и без них можно обойт, aaa (??), 07:26 , 25-Дек-09, (1) //

gt оверквотинг удален а при закрытии порта и в INPUT и в OUTPUT надо добавлят, d1mak (ok), 09:17 , 25-Дек-09, (2) //

А на кой черт вообще запрещать что-то в цепочке OUTPUT Вы уверены, что правильн, SOLDIER (?), 12:18 , 25-Дек-09, (3) //

Апдейт И ставить политику по дефолту в OUTPUT в DROP - это сильный ход Д, SOLDIER (?), 12:19 , 25-Дек-09, (4)

А почему OUTPUT в DROP нельзя ставить Это уже лишнее , d1mak (ok), 12:49 , 25-Дек-09, (6)

Потому что НОРМАЛЬНЫЙ пользователь Линукс да и Виндоуз, да и любой ОС в состо, SOLDIER (?), 14:08 , 25-Дек-09, (8)

спасибо буду разбираться дальше , d1mak (ok), 14:43 , 25-Дек-09, (10)
Со всеми портам разобрался а вот с эти не могу 770 tcp кто его использует что за, d1mak (ok), 21:38 , 26-Дек-09, (12)

netstat -lpn 124 grep 770, p0gank (ok), 22:02 , 26-Дек-09, (13)

Вот именно исходя из этого мнения, что нормальный пользователь Линукс в состояни, p0gank (ok), 22:07 , 26-Дек-09, (14)

А мне нравится - http openforum vsluhforumID10 3779 html 4 filter INPUT, Andrey Mitrofanov (?), 13:31 , 25-Дек-09, (7)

gt оверквотинг удален То есть на самом компьютере Вы не собираетесь запускать, SOLDIER (?), 14:19 , 25-Дек-09, (9)

А-а-га Там, по ссылке, был _учебный_ но полностью работающий - и соответствующ, Andrey Mitrofanov (?), 16:59 , 25-Дек-09, (11)

Спаибо значит закрою тока в INPUT , d1mak (ok), 12:47 , 25-Дек-09, (5)

Сообщения [Сортировка по времени | RSS]

3. "Зацените iptables" +/–

Сообщение от SOLDIER (?), 25-Дек-09, 12:18

А на кой черт вообще запрещать что-то в цепочке OUTPUT? Вы уверены, что правильно поняли смысл цепочек в iptables? OUTPUT - это цепочка, используемая ЛОКАЛЬНЫМИ приложениями (сервисами) самой машины.

Ответить | Правка | Наверх | Cообщить модератору

4. "Зацените iptables" +/–

Сообщение от SOLDIER (?), 25-Дек-09, 12:19

Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это сильный ход. :)))) Далеко пойдете.

Ответить | Правка | Наверх | Cообщить модератору

6. "Зацените iptables" +/–

Сообщение от d1mak (ok), 25-Дек-09, 12:49

>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это
>сильный ход. :)))) Далеко пойдете.
А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее?

Ответить | Правка | Наверх | Cообщить модератору

8. "Зацените iptables" +/–

Сообщение от SOLDIER (?), 25-Дек-09, 14:08

>>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это
>>сильный ход. :)))) Далеко пойдете.
>
>А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее?
Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой ОС) в состоянии разобраться что и почему него запущено на компьютере.

Ответить | Правка | Наверх | Cообщить модератору

10. "Зацените iptables" +/–

Сообщение от d1mak (ok), 25-Дек-09, 14:43

>>>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это
>>>сильный ход. :)))) Далеко пойдете.
>>
>>А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее?
>
> Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой
>ОС) в состоянии разобраться что и почему него запущено на компьютере.
>
спасибо буду разбираться дальше )

Ответить | Правка | Наверх | Cообщить модератору

12. "Зацените iptables" +/–

Сообщение от d1mak (ok), 26-Дек-09, 21:38

>>>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это
>>>сильный ход. :)))) Далеко пойдете.
>>
>>А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее?
>
> Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой
>ОС) в состоянии разобраться что и почему него запущено на компьютере.
>
Со всеми портам разобрался а вот с эти не могу 770 tcp кто его использует что за служба?

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Зацените iptables" +/–

Сообщение от p0gank (ok), 26-Дек-09, 22:02

>Со всеми портам разобрался а вот с эти не могу 770 tcp
>кто его использует что за служба?
netstat -lpn | grep 770

Ответить | Правка | Наверх | Cообщить модератору

14. "Зацените iptables" +/–

Сообщение от p0gank (ok), 26-Дек-09, 22:07

> Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой
>ОС) в состоянии разобраться что и почему него запущено на компьютере.
>
Вот именно исходя из этого мнения, что нормальный пользователь Линукс в состоянии знать что у него работает/будет работать на компьютера, и ставится OUTPUT в DROP.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

7. "Зацените iptables" +/–

Сообщение от Andrey Mitrofanov (?), 25-Дек-09, 13:31

>политику по дефолту в OUTPUT в DROP - это сильный ход. :)))) Далеко пойдете.
А мне нравится. :-] http:/openforum/vsluhforumID10/3779.html#4
[...]
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
[...]
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'"
-A OUTPUT -j DROP

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. "Зацените iptables" +/–

Сообщение от SOLDIER (?), 25-Дек-09, 14:19

>[оверквотинг удален]
>[...]
>*filter
>:INPUT DROP [0:0]
>:FORWARD DROP [0:0]
>:OUTPUT DROP [0:0]
>[...]
>-A OUTPUT -o lo -j ACCEPT
>-A OUTPUT -m state --state RELATED -j ACCEPT
>-A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'"
>-A OUTPUT -j DROP
То есть на самом компьютере Вы не собираетесь запускать ни одного приложения (браузера, к примеру), которое будет выходить в Интернет (варианты - менеджеры пакетов - apt-get, yast, emerge etc)? Верх мудрости - закрывать самому себе выход.

Ответить | Правка | Наверх | Cообщить модератору

11. "Зацените iptables" +/–

Сообщение от Andrey Mitrofanov (?), 25-Дек-09, 16:59

> То есть на самом компьютере Вы не собираетесь
А-а-га. Там, по ссылке, был _учебный_ (но полностью работающий - и соответствующий постанове) пример. %)
Вот пример http:/openforum/vsluhforumID10/4099.html#7 с невырожденным OUTPUT (=присутствующим interface+client), если интересно---

Ответить | Правка | Наверх | Cообщить модератору

5. "Зацените iptables" +/–

Сообщение от d1mak (ok), 25-Дек-09, 12:47

>А на кой черт вообще запрещать что-то в цепочке OUTPUT? Вы уверены,
>что правильно поняли смысл цепочек в iptables? OUTPUT - это цепочка,
>используемая ЛОКАЛЬНЫМИ приложениями (сервисами) самой машины.
Спаибо ). значит закрою тока в INPUT .

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	3. "Зацените iptables"	+/–
	Сообщение от SOLDIER (?), 25-Дек-09, 12:18
	А на кой черт вообще запрещать что-то в цепочке OUTPUT? Вы уверены, что правильно поняли смысл цепочек в iptables? OUTPUT - это цепочка, используемая ЛОКАЛЬНЫМИ приложениями (сервисами) самой машины.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Зацените iptables"	+/–
	Сообщение от SOLDIER (?), 25-Дек-09, 12:19
	Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это сильный ход. :)))) Далеко пойдете.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Зацените iptables"	+/–
	Сообщение от d1mak (ok), 25-Дек-09, 12:49
	>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это >сильный ход. :)))) Далеко пойдете. А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Зацените iptables"	+/–
	Сообщение от SOLDIER (?), 25-Дек-09, 14:08
	>>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это >>сильный ход. :)))) Далеко пойдете. > >А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее? Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой ОС) в состоянии разобраться что и почему него запущено на компьютере.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Зацените iptables"	+/–
	Сообщение от d1mak (ok), 25-Дек-09, 14:43
	>>>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это >>>сильный ход. :)))) Далеко пойдете. >> >>А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее? > > Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой >ОС) в состоянии разобраться что и почему него запущено на компьютере. > спасибо буду разбираться дальше )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Зацените iptables"	+/–
	Сообщение от d1mak (ok), 26-Дек-09, 21:38
	>>>Апдейт. И ставить политику по дефолту в OUTPUT в DROP - это >>>сильный ход. :)))) Далеко пойдете. >> >>А почему OUTPUT в DROP нельзя ставить ? Это уже лишнее? > > Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой >ОС) в состоянии разобраться что и почему него запущено на компьютере. > Со всеми портам разобрался а вот с эти не могу 770 tcp кто его использует что за служба?
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	13. "Зацените iptables"	+/–
	Сообщение от p0gank (ok), 26-Дек-09, 22:02
	>Со всеми портам разобрался а вот с эти не могу 770 tcp >кто его использует что за служба? netstat -lpn \| grep 770
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Зацените iptables"	+/–
	Сообщение от p0gank (ok), 26-Дек-09, 22:07
	> Потому что НОРМАЛЬНЫЙ пользователь Линукс (да и Виндоуз, да и любой >ОС) в состоянии разобраться что и почему него запущено на компьютере. > Вот именно исходя из этого мнения, что нормальный пользователь Линукс в состоянии знать что у него работает/будет работать на компьютера, и ставится OUTPUT в DROP.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	7. "Зацените iptables"	+/–
	Сообщение от Andrey Mitrofanov (?), 25-Дек-09, 13:31
	>политику по дефолту в OUTPUT в DROP - это сильный ход. :)))) Далеко пойдете. А мне нравится. :-] http:/openforum/vsluhforumID10/3779.html#4 [...] *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] [...] -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m state --state RELATED -j ACCEPT -A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'" -A OUTPUT -j DROP
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	9. "Зацените iptables"	+/–
	Сообщение от SOLDIER (?), 25-Дек-09, 14:19
	>[оверквотинг удален] >[...] >*filter >:INPUT DROP [0:0] >:FORWARD DROP [0:0] >:OUTPUT DROP [0:0] >[...] >-A OUTPUT -o lo -j ACCEPT >-A OUTPUT -m state --state RELATED -j ACCEPT >-A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'" >-A OUTPUT -j DROP То есть на самом компьютере Вы не собираетесь запускать ни одного приложения (браузера, к примеру), которое будет выходить в Интернет (варианты - менеджеры пакетов - apt-get, yast, emerge etc)? Верх мудрости - закрывать самому себе выход.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Зацените iptables"	+/–
	Сообщение от Andrey Mitrofanov (?), 25-Дек-09, 16:59
	> То есть на самом компьютере Вы не собираетесь А-а-га. Там, по ссылке, был _учебный_ (но полностью работающий - и соответствующий постанове) пример. %) Вот пример http:/openforum/vsluhforumID10/4099.html#7 с невырожденным OUTPUT (=присутствующим interface+client), если интересно---
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Зацените iptables"	+/–
	Сообщение от d1mak (ok), 25-Дек-09, 12:47
	>А на кой черт вообще запрещать что-то в цепочке OUTPUT? Вы уверены, >что правильно поняли смысл цепочек в iptables? OUTPUT - это цепочка, >используемая ЛОКАЛЬНЫМИ приложениями (сервисами) самой машины. Спаибо ). значит закрою тока в INPUT .
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору