[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: regulki sciany ogniowej

W liście z pon, 23-06-2003, godz. 09:57, Andrzej Dalasinski pisze: 

Dziekuje Ci za odpowiedz :)

> Po co logujesz zablokowane połączenia? Tak na prawde nie ma to większego 
> sensu, jeśli chciałbyś reagować na wszystkie proste skany to pochłonęłoby
> to cały twój czas!

Logowalem je tylko przez chwile, zeby widziec kto to. Potem wylaczylem. 

> 
> > wyciagnalem z tego dwa wnioski:
> > 1. Musze uruchamias exima jako stadalone.
> prawdopodobnie pomoże ci 
> $ dpkg-reconfigure exim 
> (ale nie jestem pewien po nie użyam exima)

Spoko z eximem sobie poradze.


> Używasz 2.2.x? jeśli nie to przerzuć się na iptables odpadnie Ci problem 
> z DNS (i kilka innych) a patch-o-matic da ci kilka nowych często naprawdę
> dobrych rozwiązań.

Uzywam 2.2.x, ale jak widze rozwiazania jakie daje iptables to coraz
blizszy jestem podjecia decyzji.


> 
> > "Jeśli Twoje zapytania DNSowe są zawsze kierowane do tej samej
> > zewnętrznej maszyny (albo bezpośrednio przez użycie serwera nazw w pliku
> > '/etc/resolv.conf' lub przez użycie cache'u serwera nazw w trybie
> > przekazywania), będziesz potrzebował tylko pozwolenia na połączenia TCP
> > do tego serwera na port 'domain' z lokalnego portu 'domain' (jeśli
> > używasz serwera nazw cache'ującego) lub na wyższy port (>1023) jeśli
> > używasz '/etc/resolv.conf'."
> Nie do końca rozumiem w czym może tu być problem...

Ja tez nie rozumiem, ale jest problem :(

> 
> > nie zalatwia tego wpisanie do pliku z portami udostepnionymi dla
> > polaczen nadchodzacych i forwardowanych "nameserver". Nie moge polaczyc
> > sie ani z sieci wewnetrznej ani z serwera z zadnym hostem uzywajach
> > nazw, po adresach ip dziala ok.
> Policy na OUTPUT ustaw sobie ACCEPT, jeśli nie zrobisz tego nie będziesz mógł
> nawiązywać wielu połączeń...

Tak tez myslalem, ale chcialem sie najpierw zapytac.

> 
> > Co z tym zrobic zeby to poszlo?
> `$path -I input -i ppp0 -s 192.168.1.0/24 -l -j DENY`;
> `$path -I input -i ppp0 -s 127.0.0.0/24 -l -j DENY`;
> nie ma sensu, bo i tak masz policy DENY...

ale chwile potem mam wpuszcanie wszystkich polaczen na okreslone porty z
sieci wewnetrznej. Ruter ma 2 interfejsy ppp0 i eth0, to powyzsze to
dodatkowe zabezpieczenie przed spoofingiem. Czyli wszystkie polaczenia
nadchodzace na ppp0 z adresem ip loopback lub 192.168.1.0/24 sa
odrzucane.

> 
> `$path -I forward -s 127.0.0.1 -j ACCEPT`;
> Też nie bardzo, raczej nie forwarduje sie przez loop'a

OK

> 
> `$path -I forward -s 192.168.1.0/24 -p ICMP -d 0.0.0.0/0 -j MASQ`;
> `$path -I input -s 0.0.0.0/0 -p ICMP -j ACCEPT`;
> jeśli potrzebujesz całego ICMP to ok, jesli nie, to imho wystarczy 
> echo-request

Caly. Jak go nie ma to nie dziala czesc uslug.

> 
> co do dostepu do dns to musisz udostepnic na forward i output
> port 53 zarowno na udp jak i na tcp udostepnienie calego udp dla
> nameserwera jest niezbyt rozsądne, tym bardziej nie widze sensu robienia 
> tego dla łańcucha input.

OK

> 
> Dalej, jeśli nadal upierasz się do używania ipchains, imo wszystko jest 
> już ok.

:) Po rozmowie wczoraj z Rafalem Członką, a zwlaszcza dlatego ze
znalazlem u niego dokument ipchains->iptables chyba skompiluje jajko
2.4.x :)

> 
> pzdr
> yanek
> PS - nie widzę  tam nigdzie logowania połączeń zablokowanych...

To jest skrypt WielkiFirewall 1.0 rc1 ;-). W tej chwili pracuje jeszcze
na wersji pierwszej, gdzie wszystko wpisywane bylo recznie, wersja druga
miaal i w zalozeniu ulatwic zycie. I w wersji pierwszej jest logowanie.
Ale nie wiem czy w miedzyczasie nie przejde na iptables.

W kazdym razie dziekuje Ci za odpowiedz i zmotywowanie do przejscia na
2.4.x :).

Pozdrawiam

Michal
-- 
Michał <ryjek38@poczta.onet.pl>
Reply to: