Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Запрещающая политика iptables: вопрос по OUTPUT цепочке  (Прочитано 619 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Привет.

С любезной помощи fisher74, реализую DROP политику:

*filter
:INPUT DROP [73:9198]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1460:143775]

-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport port#for_ssh -j LOG --log-prefix "Iptables: SSH detected: "
-A INPUT -i wlan0 -p tcp -m tcp --dport port#for_ssh -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m limit --limit 25/min --limit-burst 100 -j ACCEPT
-A OUTPUT -o wlan0 -p tcp -m tcp --sport port#for_ssh -m state --state ESTABLISHED -j ACCEPT

+ пооткрывал нужные мне сервисы: web server (http, https), ssh

Вопрос в следующем: предположим, чисто теоретически, кто-то проник ко мне в систему.
Сможет ли злоумышленник запустить на моём компе некую программу (не имея права рут, конечно), которая бы подключалась к его компьютеру ? Ведь OUTPUT фильтрует только ssh.

То есть локальный процесс(прога злоумышленника) будет слать трафик в цепочку OUTPUT, но получить данные извне он не сможет, т.к. INTPUT дропается, верно понимаю ?
« Последнее редактирование: 25 Октября 2015, 18:12:54 от _art_ »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
А разве у Вас фильтруется цепочка OUTPUT?

А по сути вопроса: сможет, так как пакеты будут с признаком установленного соединения, то есть по второму правилу цепочки INPUT зайдут с гордо поднятым заголовком

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
А разве у Вас фильтруется цепочка OUTPUT?

А по сути вопроса: сможет, так как пакеты будут с признаком установленного соединения, то есть по второму правилу цепочки INPUT зайдут с гордо поднятым заголовком
Хмм..
Нет, не фильтруется конечно, вы правы.
Но просто разрешает слать ответы по ssh уже установленному соединению, верно?

По поводу вопроса: как мне тогда запретить действия злоумышленника ? Читал, что output цепочку лучше не фильтровать. Напрашиватся только одно - ее и фильтровать, так ведь ?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Чем запрещать, подумайте о том, как мониторить будете.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн _art_

  • Автор темы
  • Активист
  • *
  • Сообщений: 377
    • Просмотр профиля
Чем запрещать, подумайте о том, как мониторить будете.
Нуу, это другой вопрос :)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28466
    • Просмотр профиля
Это как раз первый вопрос.
Оголтелыми запретами ещё никому лучше не сделалось.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.046 секунд. Запросов: 25.