Инструменты пользователя

Инструменты сайта


пример_рабочего_конфига_iptables

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
пример_рабочего_конфига_iptables [2013/09/03 20:22]
188.134.42.75
пример_рабочего_конфига_iptables [2013/09/03 20:23] (текущий)
188.134.42.75
Строка 124: Строка 124:
  
 1 - DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного,​ отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/​ботнету/​конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROP, тем самым "​притвориться мёртвым",​ это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте) ​ 1 - DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного,​ отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/​ботнету/​конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROP, тем самым "​притвориться мёртвым",​ это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте) ​
 +
 2 - открываем доступ для внешней среды, разрешаем входящие для http и https 2 - открываем доступ для внешней среды, разрешаем входящие для http и https
 +
 3 - с точки зрения безопасности,​ ident лучше отрубать,​ про identd можно будет написать отдельную статью,​ так как правильная настройка этого протокола сводится к массе подводных камней и особенностей,​ так как содержит парочку критических и средних уязвимостей ​ 3 - с точки зрения безопасности,​ ident лучше отрубать,​ про identd можно будет написать отдельную статью,​ так как правильная настройка этого протокола сводится к массе подводных камней и особенностей,​ так как содержит парочку критических и средних уязвимостей ​
 +
 4 - разрешаем "​исходящим"​ выполнять удалённые shell команды на нашем удалённом web-сервере 4 - разрешаем "​исходящим"​ выполнять удалённые shell команды на нашем удалённом web-сервере
 +
 5 - разрешаем "​жителям одной из нашей подсети"​ шифрованный порт для LOG-сервера OSSEC 5 - разрешаем "​жителям одной из нашей подсети"​ шифрованный порт для LOG-сервера OSSEC
 +
 6 - ntp он и в Африке ntp. куда же нам без него :) 6 - ntp он и в Африке ntp. куда же нам без него :)
 +
 7 - pop3 через ssl, "​безопасная почта"​ 7 - pop3 через ssl, "​безопасная почта"​
  
пример_рабочего_конфига_iptables.txt · Последние изменения: 2013/09/03 20:23 — 188.134.42.75