Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Вопрос правильности создания правила для отмены входящих пакетов на telnet  (Прочитано 1487 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Привет !

Верна ли команда:
iptables -A INPUT -p tcp --dport 23 -j REJECT
которая запрещает входящие пакеты на telnet ?

Делаю небольшую свою защиту для домашенго сервера.

--
Поправка: хоть даже у меня telnet служба и не работает, я все равно хочу резать эти пакеты.

Оффлайн khp201

  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
коннект по дефолту на 22 порт настраивается, а не 23?

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Вы не правы.
22 - это SSH.

И да, его еще можно на другой номер перебиндить...

Оффлайн khp201

  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
угу :) не посмотрел на PuTTY :)

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28266
    • Просмотр профиля
"Небольшая своя защита" делается не игрой в забивание кротов, а нормальным построением системы.
Зачем пытаться фильровать то, чего нет?…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Хочу!

А что если меня порутали и как-то подняли telnet ? :) и хотят подключиться ко мне ?
Тут-то на помощь и придет это правило...
Да и сам телнет уже устарел.

Можно ответить по существу ? Я вроде нормально вопрос сформулировал.

Все ваши ответы - это вокруг да около. Или вам по кайфу, когда кто-то вас начинает умолять и выпршивать с вас ответ ?

« Последнее редактирование: 27 Августа 2015, 17:59:38 от _art_ »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28266
    • Просмотр профиля
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Опять за рыбу деньги.
Вы чего мне тыкнули в тему автоподнятия iptables правил при перезагрузке/старте системы ? У меня это в теме написано ?

Еще раз:

Верна ли команда:
iptables -A INPUT -p tcp --dport 23 -j REJECT

которая запрещает входящие пакеты на telnet ?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Для данного хоста команда верна.

И я тоже согласен с AnrDaemon, что система безопасности является комплексом мероприятий.
При правильном построении защиты хоста у Вас должен был возникнуть другой вопрос, например, "как разрешить ssh?"

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28266
    • Просмотр профиля
Опять за рыбу деньги.
Вы чего мне тыкнули в тему автоподнятия iptables правил при перезагрузке/старте системы ? У меня это в теме написано ?

Еще раз:

Верна ли команда:
iptables -A INPUT -p tcp --dport 23 -j REJECT

которая запрещает входящие пакеты на telnet ?
КОМАНДА верна. ИДЕЯ, которая родила эту команду - неверна в принципе.
Пример ПРАВИЛЬНОЙ идеи - в вышеуказанном топике.

Пользователь решил продолжить мысль 27 Августа 2015, 23:50:50:
P.S.
Командами, подобными вашей, вы занимаетесь http://www.youtube.com/watch?v=D0n8N98mpes
« Последнее редактирование: 27 Августа 2015, 23:50:50 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Для данного хоста команда верна.

И я тоже согласен с AnrDaemon, что система безопасности является комплексом мероприятий.
При правильном построении защиты хоста у Вас должен был возникнуть другой вопрос, например, "как разрешить ssh?"
Да понятно что комплекс, вопрос был не об этом :)
Спасибо за ответы.

Резрешить ssh так:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT  // Разрешаем входящие ssh соединения
и
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT // Разрешаем исходящие ( если порт стандартный )

Верно ?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
:)

А подскажите, --dport он всегда к цепочке INPUT применяется, так ?
Как и --sport - только для OUTPUT, да ?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Применяйте в любой таблице

 

Страница сгенерирована за 0.076 секунд. Запросов: 25.