iptables
Zrobiłem dziś coś głupiego, ale co gorsze nie wiem jak to naprawić.
Miałem bardzo fajne regułki do iptables, które m. in. powodowały, że
komp odpowiada na icmp tylko raz na sekundę (Ping of Death),
zabezpieczały przed skanowaniem portów i jeszcze zamykające porty.
Dorwałem to gdzieś kiedyś na sieci. Niestety dorwałem dziś inny dokument
(http://debian.one.pl/index.php?url=4)i wg niego skonfigurowałem
iptables. I co się okazało? Po
nmap 127.0.0.1
jest taka kupa otwartych portów, że szok! Kolejny problem to pomimo wpisania
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
niestety
ping -f 127.0.0.1
leci jak szalony tzn. 0% packets lost!
Najgorsze jest to, że nie mam starych regułek.
Moje pytania to:
1. czy ten koleś to dobrze opisał, czy ja coś skichałem?
2. zamykam porty pisząc
iptables -A INPUT -p tcp --sport xxx:xxx -j DROP
daje to oczekiwane rezultaty, jednak łącze strasznie zwalnia. Czemu?
Generalnie polityka tego kolesia to otwarcie tego czego używamy, a moja
zamknięcie tego czego nie używamy. Jak napisałem wyżej jego metoda nic
nie dała, chyba, że skanować porty muszę nie od siebie tylko od kogoś o
innym IP, bo wg jego metody wszystko na ppp0 jest przepuszczane? I czy
ppp0 to zawsze jest interfejs zewnętrzny? Ja mam jedną kartę sieciową
eth0 i jestem za bramą.
3. chciałem np. zamknąć porty 1, 11, 15 przez /etc/inet.d, ale tam nie
ma takiego wpisu, a mój komp na tych portach nasłuchuje!
4. jak zablokować Ping of Death, ale żeby była możliwość pingowania?
Kiedyś tak miałem, ale nie pamiętam co miałem wpisane.
Przebrnąłem dosłownie przez tony manów i dokumentów, wszędzie piszą to
samo i nic to nie daje. :-(
--
http://www.miki.z.pl
miki@z.pl
Gadu-gadu: 2128279
Mobile: +48607345846
Reply to: