Re: заткнуть порты

To: "debian-russian" <debian-russian@lists.debian.org>
Subject: Re: заткнуть порты
From: "Victor Vislobokov" <victor@tvmaxima.perm.ru>
Date: Thu, 15 Feb 2001 11:43:12 +0500
Message-id: <[🔎] 000f01c0971a$914361b0$580aa8c0@tvmaxima.perm.ru>
References: <[🔎] Pine.LNX.4.21.0102151129590.24655-100000@oniltz.da.ru> <[🔎] 3A8B714F.1070700@rasko.ru>


> тогда еще вопрос:
> вобщем в серваке стоит две сетевухи -
> одна в локалке, другая в инете.
>
> можно-ли сделать так, чтобы определенные сервисы висели
> на определенной сетевухе? или придется все файерволом затыкать?

    Насколько я понимаю, сервисы привязываются не к сетевой
карте, а к узлу (хосту). Таким образом многое зависит от того,
как у тебя имя узла соотносится с адресом сетевой карты. Если
оно соответствует адресу внутренней сетевой карты, то это
одна история, а если к другому, то другая.

     В любом случае рекомендую выстроить следующую систему
защиты - если я где-то не прав, то пусть меня поправят метры.

1-я линия обороны - это файрвол. Берешь и закрываешь все
порты с 0-1024 кроме тех, которые действительно должны быть
открыты наружу. Ну т.е. если тебе нужен ftp, то открываешь
только ftp, если еще и почта то и ее тоже и т.д. ТОЛЬКО то
что ДЕЙСТВИТЕЛЬНО нужно. Остальное закрыть. Если
планируешь использовать ssh и подобные программы, которые
хотят работать в диапазоне портов 0-1024, то используй при
закрытии портов ipchains'ом ключик -y
Не забудь, что ряд служб работают по портам выше 1024.
К ним относися, например squid. Не забудь закрыть файрволом
порты от всех снаружи, кроме parent и sibling прокси серверов,
на которые цепляется твой squid.
Интересным также может показаться включение протоколирования
всего этого, а также запрещение с протоколированием форвардинга
всего из внутренней сетки наружу (так можно обнаружить
троянов сидящих на машинах во внутренней сети).

2-я линия оброны - TCP wrapper, или файлы /etc/hosts.deny
и hosts.allow. Туда прописываешь только те узлы и те службы
которые нужны. Например, если ты хочешь дать возможность
работы по FTP, только с узла my.kaka.ru, то в /etc/hosts.allow
изображаешь что-то типа:

in.ftpd: my.kaka.ru

в /etc/hosts.deny у тебя должна быть одна строка:

ALL: ALL

3-я линия обороны, сами приложения. Многие приложения
сами позволяют задать список узлов/адресов с которыми они
будут работать. Все это необходимо указать.

Возможно, что все три линии обороны кто-то назовет избыточными,
однако мне кажется, что лучше иметь их все, чтобы из-за случайной
ошибки, которую вы можете сделать в одной из этих линий к вам
не смогли бы залезть.

Виктор

Reply to:

Follow-Ups:
- Re: заткнуть порты
  - From: "Nikolay Ilduganov" <nick@nick.da.ru>

References:
- Re: заткнуть порты
  - From: Pavel Orehov <opa@oniltz.da.ru>
- Re: заткнуть порты
  - From: "Dmitry V. Glushenok" <glush@rasko.ru>

Prev by Date: Re: заткнуть порты
Next by Date: Re: заткнуть порты
Previous by thread: Re: заткнуть порты
Next by thread: Re: заткнуть порты
Index(es):
- Date
- Thread