ADSL и фаервол (постоянное подключение к нэту) / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / ADSL и фаервол (постоянное подключение к нэту)

19 сообщений из 19, страница 1 из 1

ADSL и фаервол (постоянное подключение к нэту)

#33339274

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

Достаточно ли NAT - надёжный фаервол? Наскока актуальна задача поднятия фаервола при подключении по ADSL? Часто ли сталкивались с вирусами и атаками на рабочии станции под Ляликом?

...

Рейтинг:

0 / 0

23.10.2005, 23:10:34

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33339306

DocAl

Участник

Откуда: Оккупирую западный берег

Сообщения: 9 935

Рейтинг: 0 / 0

Достаточно ли кто надёжный что?

...

Рейтинг:

0 / 0

24.10.2005, 00:39:54

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33339362

alex_k

Участник

Откуда: krasnoyarsk

Сообщения: 6 636

Рейтинг: 0 / 0

NAT - network adress translation
к файрволу никакого отношения не меет.
В не зависимости от статистики атак линуксовых машин, рекомендую настроить файрволл.
И в будущем никогда не относится к своей системе на "авось".

...

Рейтинг:

0 / 0

24.10.2005, 04:43:40

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33339484

--null--

Участник

Откуда: Санкт-Петербург

Сообщения: 2 915

Рейтинг: 0 / 0

Настроить фильтрацию обязательно.
На linux ломятся всякими эксплойтами и брутфорсами еще как.

По терминологии как я знаю - "файрвол" - в общем собирательное понятие- включает
в себя и NAT и фильтрацию и IDS и черта в ступе. Только почему-то в linux дистрибутивах фильтрация называется "firewall".

...

Рейтинг:

0 / 0

24.10.2005, 09:26:49

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33339720

Pavel Kilevatyh

Участник

Откуда: Одесса, Украина

Сообщения: 273

Рейтинг: 0 / 0

--null--Настроить фильтрацию обязательно.
На linux ломятся всякими эксплойтами и брутфорсами еще как.

Эт точно)

--null--
По терминологии как я знаю - "файрвол" - в общем собирательное понятие- включает
в себя и NAT и фильтрацию и IDS и черта в ступе. Только почему-то в linux дистрибутивах фильтрация называется "firewall".

В nix системах принято делать программы для решения как можно более узкого круга задач.
Поэтому собственно фильтрация пакетов и NAT производится ядрышком, а правилами управляет iptables/ipchains.

Самый продвинутый/раскрученный IDC - snort (IMHO).

А с атаками грубой силой можно бороться с помощью denyhosts. Эта утилитка сканирует /var/log/messages на предмет неудачных наборов пароля/логина и банит, посредством /etc/hosts.deny, адреса с которых ломится атакующий.

А вообще начать нужно с отключения ненужных сервисов.

...

Рейтинг:

0 / 0

24.10.2005, 10:55:59

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33340093

VoDA

Участник

Откуда: сеРверная пальмира :)

Сообщения: 4 826

Рейтинг: 0 / 0

SarinДостаточно ли NAT - надёжный фаервол? Наскока актуальна задача поднятия фаервола при подключении по ADSL? Часто ли сталкивались с вирусами и атаками на рабочии станции под Ляликом?А что понимаем под надежностью?

Некоторые Винду подключают к Инет-у через ADSL и считают защищенной (безо всякой дури типа антивирусов, NAT, etc).

NAT - технология преобразования адресов, оно не фаервол. Хотя интересно а преобразовать пекет и послать его в /dev/null можно?

PS возможно Вам и NAT не нужен? ИМХО... Опишите подробнее задачу
----

SAnalis.ru - Just for fun. Еще расту, а так я ДЖИП!

...

Рейтинг:

0 / 0

24.10.2005, 12:44:50

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33341000

DocAl

Участник

Откуда: Оккупирую западный берег

Сообщения: 9 935

Рейтинг: 0 / 0

VoDA[quot Sarin]Некоторые Винду подключают к Инет-у через ADSL и считают защищенной (безо всякой дури типа антивирусов, NAT , etc).

NAT - технология преобразования адресов, оно не фаервол. Хотя интересно а преобразовать пекет и послать его в /dev/null можно?

PS возможно Вам и NAT не нужен? ИМХО... Опишите подробнее задачу

Так таки какое отношение к защищённости имеет NAT?)

...

Рейтинг:

0 / 0

24.10.2005, 17:34:51

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33341165

VoDA

Участник

Откуда: сеРверная пальмира :)

Сообщения: 4 826

Рейтинг: 0 / 0

DocAlNAT - технология преобразования адресов, оно не фаервол. Хотя интересно а преобразовать пекет и послать его в /dev/null можно?

PS возможно Вам и NAT не нужен? ИМХО... Опишите подробнее задачу

Так таки какое отношение к защищённости имеет NAT?)[/quot]
По идее можно настроить НАТ, чтобы он грохал пакеты, подходящие под определенное правило.

ЗЫ под Ляликом не настраивал, поэтому могу только рассуждать на тему.

2Автор
Повторяю: возможно Вам и NAT не нужен или нужен но не он ИМХО... Опишите подробнее задачу

----

SAnalis.ru - Just for fun. Еще расту, а так я ДЖИП!

...

Рейтинг:

0 / 0

24.10.2005, 18:30:33

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33341191

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

Описаваю: собираюсь подключить ADSL. Компуктер у меня включён часами (иногда днями). Вертятся некоторые сервисы. Apache (я програмлю для веб), Самба для локали квартирной, Сквид для того, чтоб виндовая машинка в нэте сидеть могла. Ещё кой чё.

В связи с тем, что машинка моя будет часами подрублена к нэту не хочу, чтоб какой-то какер-малолетка рассказывал своим соратникам о том, как он хакнул ламера с Линухом.

Что почитать про безопасность под Линухом в данном аспекте?

...

Рейтинг:

0 / 0

24.10.2005, 18:49:54

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33341215

--null--

Участник

Откуда: Санкт-Петербург

Сообщения: 2 915

Рейтинг: 0 / 0

Почитать наверное книжку подобную Linux Firewalls
или просто какое-нибудь описание ipchains/iptables. Хоть на opennet-е.

Зафильтровать, чтоб только исходящие запросы к стандартным интернет-сервисам. Самое простое - можно взять какой-нибудь конфиг и модернизировать под свои нужды.

...

Рейтинг:

0 / 0

24.10.2005, 19:09:33

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33341423

Alex Roudnev

Участник

Откуда: Валнут Крик, Калифорния

Сообщения: 5 544

Рейтинг: 0 / 0

На самом деле NAT достаточно, если вы настроили _только выходные соединения_ (то есть ни NAT а говоря точнее - PNAT причем только на выход) - теоретически такое ломается, практически - никогда.

А вот если вам нужно еще и принимать соединения, то вперед к знакомству с фареволлами.

...

Рейтинг:

0 / 0

25.10.2005, 00:29:02

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33342251

SlavaKV

Участник

Откуда: Земля родная

Сообщения: 244

Рейтинг: 0 / 0

http://www.opennet.ru/docs/RUS/iptables

почитай и можеш одну из конфиг под себя и будет тебе счастие -:)

...

Рейтинг:

0 / 0

25.10.2005, 12:48:25

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33343733

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

...

Рейтинг:

0 / 0

25.10.2005, 21:41:07

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33343988

Adekamer

Участник

Откуда: 127.0.0.1

Сообщения: 1 096

Рейтинг: 0 / 0

Alex RoudnevНа самом деле NAT достаточно, если вы настроили _только выходные соединения_ (то есть ни NAT а говоря точнее - PNAT причем только на выход) - теоретически такое ломается, практически - никогда.

А вот если вам нужно еще и принимать соединения, то вперед к знакомству с фареволлами.
первый раз слышу про PNAT - гугля тоже мне ничего не говорит ....
может имелось в виду действие SNAT ?
Потом - мне показалось что человеку (Sarin) нужне просто настроить брендмауэр... и он немного запутался... (ну зачем ему для как мне показалось одного десктопа нужен нат)

...

Рейтинг:

0 / 0

26.10.2005, 08:26:40

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33344057

--null--

Участник

Откуда: Санкт-Петербург

Сообщения: 2 915

Рейтинг: 0 / 0

наверное, имеется в виду PAT (Port Adress Translation) - то, под чем нынче часто понимается NAT.

А настроить imho следует все, что только можно - перестраховка в данном деле не помешает :-)

...

Рейтинг:

0 / 0

26.10.2005, 09:12:48

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33344387

Adekamer

Участник

Откуда: 127.0.0.1

Сообщения: 1 096

Рейтинг: 0 / 0

порт адрес трансляция.... гм.... може маппинг портов ?
но это к нашим задачам вообще слабо подходит...
хотя иптаблес делает наура
Join us and be our friend!

...

Рейтинг:

0 / 0

26.10.2005, 11:07:24

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33345752

DocAl

Участник

Откуда: Оккупирую западный берег

Сообщения: 9 935

Рейтинг: 0 / 0

Adekamer Alex RoudnevНа самом деле NAT достаточно, если вы настроили _только выходные соединения_ (то есть ни NAT а говоря точнее - PNAT причем только на выход) - теоретически такое ломается, практически - никогда.

А вот если вам нужно еще и принимать соединения, то вперед к знакомству с фареволлами.
первый раз слышу про PNAT - гугля тоже мне ничего не говорит ....
может имелось в виду действие SNAT ?
Потом - мне показалось что человеку (Sarin) нужне просто настроить брендмауэр... и он немного запутался... (ну зачем ему для как мне показалось одного десктопа нужен нат)
А мне показалось, что машины две...
Для второй виндовой NAT и нужен.

...

Рейтинг:

0 / 0

26.10.2005, 17:14:29

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33346111

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

Adekamer
Потом - мне показалось что человеку (Sarin) нужне просто настроить брендмауэр... и он немного запутался... (ну зачем ему для как мне показалось одного десктопа нужен нат)
Тогда расскажи про брандмауер.

...

Рейтинг:

0 / 0

26.10.2005, 19:09:48

| Ответить | Цитировать | Написать

ADSL и фаервол (постоянное подключение к нэту)

#33346287

Adekamer

Участник

Откуда: 127.0.0.1

Сообщения: 1 096

Рейтинг: 0 / 0

а что там рассказывать
TCP/IP немного знаешь ?
в твоем - простейшем случае тебе надо что ? тебе надо чтоб к тебе немогли снаружи присоединиться ни к каким сервисам запушенным на твоей машинке...
если на твоей машинке ядро собрано с поддержкой netfilter (iptables)
то задай политику по умолчанию в иптаблес:
iptables -F
iptables -t nat -F
iptables -t mangle -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

а дальше разрешай и запрешай что тебе надо:
iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP #SSH deny
iptables -A INPUT -i eth0 -p tcp --dport 111 -j DROP #rcpbind
iptables -A INPUT -i eth0 -p tcp --dport 6000 -j DROP #x11
iptables -A INPUT -i eth0 -p ICMP -s 0/0 --icmp-type 8 -j DROP #ping me
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT #Time Exceeded
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 0 -j ACCEPT #Echo Reply
ну приблизительно так :)
можешь прописать в /etc/rc.d/rc.local и у тебя это будет выполнять при каждой загрузке

а вообще - лучше почитай на том же www.opennet.ru по иптаблесу - там мнооооого чего интересного
ЗЫ: это только пример. вообще надо писать под себя.... в зависимости от запушенных сервисов (теленет тот же или самба ) и необходимых потребностей... даже трафик считать можно...
в общем будут вопросы - обрашайся

...

Рейтинг:

0 / 0

26.10.2005, 21:30:30

| Ответить | Цитировать | Написать

19 сообщений из 19, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / ADSL и фаервол (постоянное подключение к нэту)

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&fpage=231&tid=1490099]:	0ms
get settings:	10ms
get forum list:	15ms
check forum access:	3ms
check topic access:	3ms
track hit:	38ms
get topic data:	9ms
get forum data:	2ms
get page messages:	50ms
get tp. blocked users:	2ms
others:	232ms

total:	364ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы