nadejnei.net

Инструменты пользователя

Инструменты сайта

Вы посетили: аутентификация
пример_рабочего_конфига_iptables

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия 		Предыдущая версия
пример_рабочего_конфига_iptables [2013/09/03 20:22]
188.134.42.75 		пример_рабочего_конфига_iptables [2013/09/04 00:23] (текущий)
Строка 124: Строка 124:
  
 1 - DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного, отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/ботнету/конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROP, тем самым "притвориться мёртвым", это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте)  1 - DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного, отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/ботнету/конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROP, тем самым "притвориться мёртвым", это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте) 
 +
 2 - открываем доступ для внешней среды, разрешаем входящие для http и https 2 - открываем доступ для внешней среды, разрешаем входящие для http и https
 +
 3 - с точки зрения безопасности, ident лучше отрубать, про identd можно будет написать отдельную статью, так как правильная настройка этого протокола сводится к массе подводных камней и особенностей, так как содержит парочку критических и средних уязвимостей  3 - с точки зрения безопасности, ident лучше отрубать, про identd можно будет написать отдельную статью, так как правильная настройка этого протокола сводится к массе подводных камней и особенностей, так как содержит парочку критических и средних уязвимостей 
 +
 4 - разрешаем "исходящим" выполнять удалённые shell команды на нашем удалённом web-сервере 4 - разрешаем "исходящим" выполнять удалённые shell команды на нашем удалённом web-сервере
 +
 5 - разрешаем "жителям одной из нашей подсети" шифрованный порт для LOG-сервера OSSEC 5 - разрешаем "жителям одной из нашей подсети" шифрованный порт для LOG-сервера OSSEC
 +
 6 - ntp он и в Африке ntp. куда же нам без него :) 6 - ntp он и в Африке ntp. куда же нам без него :)
 +
 7 - pop3 через ssl, "безопасная почта" 7 - pop3 через ssl, "безопасная почта"
  
пример_рабочего_конфига_iptables.1378239769.txt.gz · Последнее изменение: 2013/09/04 00:22 (внешнее изменение)

Инструменты страницы

Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki
DokuWiki Appliance - Powered by TurnKey Linux