Kezdőlap › Fórumok › Vegyes felvágott › iptables kérdés
- This topic has 3 hozzászólás, 3 résztvevő, and was last updated 19 years, 1 months telt el by
lanux.
-
SzerzőBejegyzés
-
2006-05-18-21:39 #2060099
Nehezet vagy hülyét kérdeztem ?
Esetleg bojkottálva van a nekem való válaszadás ?2006-05-19-05:26 #2060100lanux wrote:A -A OUTPUT -o eth0 -m state –state NEW -j ACCEPT sorral megy szépen a streamtuner is ,de ha jól sejtem ezzel a sorral értelmetlenné tettem az egész OUTPUT szûrést az eth0 oldaláról.Tulajdonképen igen.
Az iptables úgy mûködik hogy elkezdi végignézni az adott láncon lévõ szabályokat és ha illeszkedik akkor az abban megadottak szerint cselekszik. Ha nem akkor megy a következõre. Mindaddíg amíg van még bejegyzés a láncban. Ha nincs akkor egy szinttel (al-lánc szülõje felé) feljebb lép és ott folytatja amíg teljesen el nem fogy, ekkor a policy-ban megadottak szerint cselekszik.lanux wrote:Mennyire biztonságos a kifelé irányuló forgalmat szabadjára engedni ?Ezt neked kell eldöntened. Te tudod hogy mi fut/ futhat a gépeden.
lanux wrote:Léteznek „rosszindulatú” szoftverek Linux-ra is vagy ez csak a MS kiváltsága ?Ha a géped egy kiszolgáló és elérhetõ az internet felõl akkor van esély arra hogy valaki (valamilyen hibát / hiányosságot) kihasználva kártékony kódot helyezzen el és futtasson a gépeden.
Kiszolgálók esetében fokozottan igaz az a tiltási mód hogy, semmit nem szabad kivéve amit igen.
Ha tudod hogy mire van szükség a rendeltetésszerû mûködés során akkor mindent tíltva és csak a szükséges dolgokat engedélyzve meg lehet nehezíteni / lehetetlenné lehet tenni a kártékony program mûködését / kártékony program bejuttatását a gépedre.2006-05-19-15:04 #2060101Köszi maszili a választ .
Van még mit tanulnom bõven az iptables-el kapcsolatban is. 🙂
thx2009-12-04-19:58 #1883302Hi !
Ha az OUTPUT policy-is DROP és csak azokat a portokat engedem kifelé amik feltétlen szükségesek a netezéshez:
-A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp –dport 53 -m state –state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp –dport 53 -m state –state NEW -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp –dport 123 -m state –state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp –dport 80 -m state –state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp –dport 443 -m state –state NEW -j ACCEPTez így mûködik is ,viszont használom a streamtuner-t is ami különféle portokon kommunikálna a stream szerverekkel ,ami itt ugyebár tiltva van és emiatt nem is mûködik.
A -A OUTPUT -o eth0 -m state –state NEW -j ACCEPT sorral megy szépen a streamtuner is ,de ha jól sejtem ezzel a sorral értelmetlenné tettem az egész OUTPUT szûrést az eth0 oldaláról.
Mennyire biztonságos a kifelé irányuló forgalmat szabadjára engedni ?
Léteznek „rosszindulatú” szoftverek Linux-ra is vagy ez csak a MS kiváltsága ? -
SzerzőBejegyzés
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz