Re: regulki sciany ogniowej
Dnia Sun, Jun 22, 2003 at 12:09:07PM +0200 Michał napisał/a:
> Witam.
> Przezylem dzis w nocy zmasowany atak z kilkunastu serwerow probojaych
> posylac spam przez mojego exima, co za tym idzie zostalem wczesniej
> gruntownie przeskanowany. Jako ze mam serwer dosc slaby, a bylo ich
> kilka a exima uruchamialem z inetd, lacze niemal mi wysiadlo :( (w
> pewnej chwili musialem wylaczyc logowanie zablokowanych polaczen, bo
> kern.log w ciagu minuty puchl mi o 5 mb :(.
Po co logujesz zablokowane połączenia? Tak na prawde nie ma to większego
sensu, jeśli chciałbyś reagować na wszystkie proste skany to pochłonęłoby
to cały twój czas!
> wyciagnalem z tego dwa wnioski:
> 1. Musze uruchamias exima jako stadalone.
prawdopodobnie pomoże ci
$ dpkg-reconfigure exim
(ale nie jestem pewien po nie użyam exima)
> 2. musze zrobic jakis skrypcik, ktory pozwoli mi elastyczniej zarzadzac
> regulkami i zautoimatyzowac proces banowania niechcianych hostow bez
> ryzyka, ze za miesiac nie odnajde sie w pliku z regulkami.
> I tak powstal ten http://michal.ocean.citynet.pl/ip_masq.txt plik.
> Jako ze nie jestem mocarzem od firewalla poprosil bym Was o cenzurke.
> I mam do tego pliku jedno pytanie:
> przy ustanawianiu domyslnej polityki na deny na samym poczatku
> ipchains-haowto wspomina o klopoytach z dnsem. I takie faktycznie sa:
Używasz 2.2.x? jeśli nie to przerzuć się na iptables odpadnie Ci problem
z DNS (i kilka innych) a patch-o-matic da ci kilka nowych często naprawdę
dobrych rozwiązań.
> "Jeśli Twoje zapytania DNSowe są zawsze kierowane do tej samej
> zewnętrznej maszyny (albo bezpośrednio przez użycie serwera nazw w pliku
> '/etc/resolv.conf' lub przez użycie cache'u serwera nazw w trybie
> przekazywania), będziesz potrzebował tylko pozwolenia na połączenia TCP
> do tego serwera na port 'domain' z lokalnego portu 'domain' (jeśli
> używasz serwera nazw cache'ującego) lub na wyższy port (>1023) jeśli
> używasz '/etc/resolv.conf'."
Nie do końca rozumiem w czym może tu być problem...
> nie zalatwia tego wpisanie do pliku z portami udostepnionymi dla
> polaczen nadchodzacych i forwardowanych "nameserver". Nie moge polaczyc
> sie ani z sieci wewnetrznej ani z serwera z zadnym hostem uzywajach
> nazw, po adresach ip dziala ok.
Policy na OUTPUT ustaw sobie ACCEPT, jeśli nie zrobisz tego nie będziesz mógł
nawiązywać wielu połączeń...
> Co z tym zrobic zeby to poszlo?
`$path -I input -i ppp0 -s 192.168.1.0/24 -l -j DENY`;
`$path -I input -i ppp0 -s 127.0.0.0/24 -l -j DENY`;
nie ma sensu, bo i tak masz policy DENY...
`$path -I forward -s 127.0.0.1 -j ACCEPT`;
Też nie bardzo, raczej nie forwarduje sie przez loop'a
`$path -I forward -s 192.168.1.0/24 -p ICMP -d 0.0.0.0/0 -j MASQ`;
`$path -I input -s 0.0.0.0/0 -p ICMP -j ACCEPT`;
jeśli potrzebujesz całego ICMP to ok, jesli nie, to imho wystarczy
echo-request
co do dostepu do dns to musisz udostepnic na forward i output
port 53 zarowno na udp jak i na tcp udostepnienie calego udp dla
nameserwera jest niezbyt rozsądne, tym bardziej nie widze sensu robienia
tego dla łańcucha input.
Dalej, jeśli nadal upierasz się do używania ipchains, imo wszystko jest
już ok.
pzdr
yanek
PS - nie widzę tam nigdzie logowania połączeń zablokowanych...
--
Proszę o nieprzysyłanie mi załączników Worda, Excel ani PowerPointa.
Zob.: http://www.fsf.org/philosophy/no-word-attachments.pl.html
Reply to: