iptables kérdés

Kezdőlap Fórumok Vegyes felvágott iptables kérdés

4 bejegyzés megtekintése - 1-4 / 4
  • Szerző
    Bejegyzés
  • 2006-05-18-21:39 #2060099
    lanux
    Felhasználó

      Nehezet vagy hülyét kérdeztem ?
      Esetleg bojkottálva van a nekem való válaszadás ?

      2006-05-19-05:26 #2060100
      maszili
      Felhasználó
        lanux wrote:
        A -A OUTPUT -o eth0 -m state –state NEW -j ACCEPT sorral megy szépen a streamtuner is ,de ha jól sejtem ezzel a sorral értelmetlenné tettem az egész OUTPUT szûrést az eth0 oldaláról.

        Tulajdonképen igen.
        Az iptables úgy mûködik hogy elkezdi végignézni az adott láncon lévõ szabályokat és ha illeszkedik akkor az abban megadottak szerint cselekszik. Ha nem akkor megy a következõre. Mindaddíg amíg van még bejegyzés a láncban. Ha nincs akkor egy szinttel (al-lánc szülõje felé) feljebb lép és ott folytatja amíg teljesen el nem fogy, ekkor a policy-ban megadottak szerint cselekszik.

        lanux wrote:
        Mennyire biztonságos a kifelé irányuló forgalmat szabadjára engedni ?

        Ezt neked kell eldöntened. Te tudod hogy mi fut/ futhat a gépeden.

        lanux wrote:
        Léteznek „rosszindulatú” szoftverek Linux-ra is vagy ez csak a MS kiváltsága ?

        Ha a géped egy kiszolgáló és elérhetõ az internet felõl akkor van esély arra hogy valaki (valamilyen hibát / hiányosságot) kihasználva kártékony kódot helyezzen el és futtasson a gépeden.

        Kiszolgálók esetében fokozottan igaz az a tiltási mód hogy, semmit nem szabad kivéve amit igen.
        Ha tudod hogy mire van szükség a rendeltetésszerû mûködés során akkor mindent tíltva és csak a szükséges dolgokat engedélyzve meg lehet nehezíteni / lehetetlenné lehet tenni a kártékony program mûködését / kártékony program bejuttatását a gépedre.

        2006-05-19-15:04 #2060101
        lanux
        Felhasználó

          Köszi maszili a választ .
          Van még mit tanulnom bõven az iptables-el kapcsolatban is. 🙂
          thx

          2009-12-04-19:58 #1883302
          csaba
          Felhasználó

            Hi !

            Ha az OUTPUT policy-is DROP és csak azokat a portokat engedem kifelé amik feltétlen szükségesek a netezéshez:

            -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
            -A OUTPUT -o eth0 -p udp -m udp –dport 53 -m state –state NEW -j ACCEPT
            -A OUTPUT -o eth0 -p tcp -m tcp –dport 53 -m state –state NEW -j ACCEPT
            -A OUTPUT -o eth0 -p udp -m udp –dport 123 -m state –state NEW -j ACCEPT
            -A OUTPUT -o eth0 -p tcp -m tcp –dport 80 -m state –state NEW -j ACCEPT
            -A OUTPUT -o eth0 -p tcp -m tcp –dport 443 -m state –state NEW -j ACCEPT

            ez így mûködik is ,viszont használom a streamtuner-t is ami különféle portokon kommunikálna a stream szerverekkel ,ami itt ugyebár tiltva van és emiatt nem is mûködik.
            A -A OUTPUT -o eth0 -m state –state NEW -j ACCEPT sorral megy szépen a streamtuner is ,de ha jól sejtem ezzel a sorral értelmetlenné tettem az egész OUTPUT szûrést az eth0 oldaláról.
            Mennyire biztonságos a kifelé irányuló forgalmat szabadjára engedni ?
            Léteznek „rosszindulatú” szoftverek Linux-ra is vagy ez csak a MS kiváltsága ?

          • Szerző
            Bejegyzés
          4 bejegyzés megtekintése - 1-4 / 4
          • Be kell jelentkezni a hozzászóláshoz.