Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Настройка IPTABLES  (Прочитано 1010 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Настройка IPTABLES
« : 16 Март 2016, 02:29:17 »
Доброго времени суток.
Помогите настроить IPTABLES для некоторых приложений.

Вот меня интересует Opera, Google Chrome, Firefox

chrom сидит на
TCP 80,8080,5353,433
UDP 5353,433,8080,80
Это я на INPUT поставил, а на OUTPUT еще больше будет. Я так понимаю, он в диапазоне генерирует порт?

Есть еще порты, так как Youtybe открывается не полноценно, css не загружаются. Да и другие порты не отрываются.

Подскажите, как настроить под них iptables?


(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26090
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #1 : 16 Март 2016, 02:52:45 »
FTK, простите, а что за [цензура] вы пытаетесь сделать?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #2 : 16 Март 2016, 03:26:53 »
пытаюсь настроить на своем рабочем desktope iptables.
или Iptables используют исключительно на серверах?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26090
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #3 : 16 Март 2016, 03:49:15 »
"настроить" это не цель, это средство.
Какую цель вы преследуете вашей настройкой?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #4 : 16 Март 2016, 09:41:04 »
Цель, защитить комп от постороннего проникновения. Через разные backdoor, уязвимости, переборы паролей и так далее. В этом моменте я закрываю, все лишние порты и контролировать ситуацию на компе.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26090
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #5 : 16 Март 2016, 11:15:40 »
А при чём тут хром? Опера? Файрфокс?…

Показывайте
ip a; ip r s type unicast
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #6 : 16 Март 2016, 13:28:56 »
(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26090
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #7 : 16 Март 2016, 13:36:56 »
Ну и? Вы уже отрезаны от интернета роутером. Какой ЕЩЁ защиты вам надо?
От самого себя? Выключите компьютер и не подходите к нему.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #8 : 16 Март 2016, 14:43:04 »
На этом компе стоит роутер, на другом нет. Там прямое подключение.

Пользователь решил продолжить мысль [time]16 Март 2016, 15:47:07[/time]:
Вас послушать, так поставь роутер и не парься, он сам тебя защитит магическим образом. А, то что их обходят, у многих роутеров огромное количество уязвимостей про которые, регулярно то и дело пишут в информационных новостях. Да, на том же opennet.

Мы же не виндовсом пользуемся, где нажми кнопку и оно само за тебя все сделает, а как оно делает и сделает ли вообще не известно. (черный ящик)

Дистрибутивы linux скоро по такой же тематике пойдут, да что там скоро, уже идут. ((

Пользователь решил продолжить мысль 16 Март 2016, 14:48:49:
Меня уже взломали через этот роутер несколько дней назад. Что-то он не помог ))
По этой причине и завел эту тематику.
« Последнее редактирование: 16 Март 2016, 14:48:49 от FTK »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26090
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #9 : 16 Март 2016, 15:01:51 »
…без комментариев.
Взломали не через роутер, а через вас. Вы сами себя взломали.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #10 : 16 Март 2016, 16:50:29 »
Разумеется, есть несколько способов взлома компа.
Физическое подключение и через сеть. К физическому я отношу, скажем зараженную флеку, которую хозяин компа подключит, рассчитывая, что на ней нет ни чего. Этот вариант сейчас мы не рассматриваем.

Мы рассматриваем второй случай. Когда взлом происходит через сеть. Если брать дилетанта, то он и не обойдет эту защиту(роутер), если будет это делать, человек знающий свое дело. То, роутер ему не станет помехой.


Возможно, я что-то не знаю и не понимаю во всем этом. Можете пояснить свой ответ?
« Последнее редактирование: 16 Март 2016, 17:16:47 от FTK »

Оффлайн τοΖεη

  • Заслуженный пользователь
  • Администратор
  • Старожил
  • *
  • Сообщений: 8611
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #11 : 16 Март 2016, 21:28:36 »
Топик очищен от флуда.
Господа, если нечего сказать по делу, лучше избегать пустых комментариев.
Будем считать это предупреждением.
Обоим.
« Последнее редактирование: 16 Март 2016, 21:30:25 от τοΖεη »
# find / -iname '*τοΖεη*'
# /God's_Universe/Book_Of_Life_aka_LordJC_protected/τοΖεη
Subject description -->> Not an ideal but s@ved 4eVer. Final destination -->> Kingdom Of Heaven

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #12 : 16 Март 2016, 22:10:54 »
Я с вами полностью согласен.

Пользователь решил продолжить мысль 17 Март 2016, 11:13:01:
А, тема все еще актуальна.
« Последнее редактирование: 17 Март 2016, 11:13:01 от FTK »

alexxnight

  • Гость
Re: Настройка IPTABLES
« Ответ #13 : 17 Март 2016, 11:31:46 »
В данном случае Вам нужно поменять пароли, сделать их более устойчивыми к взлому.
И постепенно изучать iptables.

Оффлайн FTK

  • Автор темы
  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Настройка IPTABLES
« Ответ #14 : 17 Март 2016, 15:20:47 »
Хорошо, подойду к вопросу иначе.
Рассматриваем ситуацию, когда прямое подключение к интернету.

К каким приложениям возможно подключиться извне?

mysql-server, ssh-server - это тот набор, который стоит у меня на компе.

Других программ к которым возможно подключиться, я пока не вижу
(Нажмите, чтобы показать/скрыть)

(поправьте, если не прав)

Значит их нужно усиленно охранять через IPTABLES.

Вопрос: что делать с трафиком?

  • Разрешаем весь трафик, но при этом, он должен пройти проверку
  • Ставить проверку на BADFLAGS (пример: --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG )
  • Ставить проверку на стуки на нерабочие порты.
  • Ставить проверку на synFlood
  • Ставить защиту от сканирования портов.

Вопрос: Что делать с приватными портами? На которые могут подключиться!

  • А, на них, нужно поменять стандартные порты и если, кто будет стучать по старым, банить(fail2ban и IPTABLES).
  • Если будут стучать по нужному порту, и при этом он не будет из доверенной зоны IP адресов(если таковая имеется), то его в бан и IPTABLES DROP
  • Ставить защиту от разного вида перебора(IPTABLES,Fail2ban)


Что касается ICMP, то запрещаем опасные типы и остаются только разрешенные:
INPUT ICMP 3,8,12
OUTPUT ICMP 0.3.4.11.12

После всех проверок на INPUT и OUTPUT ставим ACCEPT.
А, FORWARD DROP в моем случае. Так как пакеты дальше не идут по другим компам.


На, компе находится важная информация и по этой причине приходится защищать его, так же жизненно важно на нем иметь выход в интернет(это, тем умникам, которые будут говорить, чтобы вообще выключил интернет и все будет защищено)

Поправьте меня, если план действий не верный и подскажите, что еще можно добавить или отредактировать?

 

Страница сгенерирована за 0.065 секунд. Запросов: 24.