Инструменты пользователя
пример_рабочего_конфига_iptables
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия | |||
|
пример_рабочего_конфига_iptables [2013/09/03 20:22] 188.134.42.75 |
пример_рабочего_конфига_iptables [2013/09/03 20:23] (текущий) 188.134.42.75 |
||
|---|---|---|---|
| Строка 124: | Строка 124: | ||
| 1 - DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного, отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/ботнету/конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROP, тем самым "притвориться мёртвым", это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте) | 1 - DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного, отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/ботнету/конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROP, тем самым "притвориться мёртвым", это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте) | ||
| + | |||
| 2 - открываем доступ для внешней среды, разрешаем входящие для http и https | 2 - открываем доступ для внешней среды, разрешаем входящие для http и https | ||
| + | |||
| 3 - с точки зрения безопасности, ident лучше отрубать, про identd можно будет написать отдельную статью, так как правильная настройка этого протокола сводится к массе подводных камней и особенностей, так как содержит парочку критических и средних уязвимостей | 3 - с точки зрения безопасности, ident лучше отрубать, про identd можно будет написать отдельную статью, так как правильная настройка этого протокола сводится к массе подводных камней и особенностей, так как содержит парочку критических и средних уязвимостей | ||
| + | |||
| 4 - разрешаем "исходящим" выполнять удалённые shell команды на нашем удалённом web-сервере | 4 - разрешаем "исходящим" выполнять удалённые shell команды на нашем удалённом web-сервере | ||
| + | |||
| 5 - разрешаем "жителям одной из нашей подсети" шифрованный порт для LOG-сервера OSSEC | 5 - разрешаем "жителям одной из нашей подсети" шифрованный порт для LOG-сервера OSSEC | ||
| + | |||
| 6 - ntp он и в Африке ntp. куда же нам без него :) | 6 - ntp он и в Африке ntp. куда же нам без него :) | ||
| + | |||
| 7 - pop3 через ssl, "безопасная почта" | 7 - pop3 через ssl, "безопасная почта" | ||
пример_рабочего_конфига_iptables.txt · Последние изменения: 2013/09/03 20:23 — 188.134.42.75
Инструменты страницы
За исключением случаев, когда указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: GNU Free Documentation License 1.3
