forum.opennet.ru - "Защита внутренненго компа с помощью сервера" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Защита внутренненго компа с помощью сервера"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Защита внутренненго компа с помощью сервера"
Сообщение от Сергей Петров on 29-Июн-05, 21:35 (MSK)
Есть комп, который подключен к интернету (рельный ip winxp) - соответственно его все вермя пытается кто-то долбать (firewall ругается). Для того, чтобы хоть как-нибудь обезопасить компьютер с xp - между ним и интерентом я поставл linux машину, у которой на внешнем интерфейсе закрыты все порты. Соответственно linux раздает через нат интернет машине в локалке. Скажите пожалуйста, что можно еще повесить на linux машину, чтобы еще более обезопасить компьютер в локалке? Заранее большое спасибо!
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Защита внутренненго компа с помощью сервера, гы, 23:40 , 29-Июн-05, (1)
- Защита внутренненго компа с помощью сервера, maxim, 08:25 , 30-Июн-05, (2)
  - Защита внутренненго компа с помощью сервера, Сергей Петров, 12:01 , 30-Июн-05, (5)
- Защита внутренненго компа с помощью сервера, Сергей Петров, 12:00 , 30-Июн-05, (4)
  - Защита внутренненго компа с помощью сервера, kolayshkin, 12:41 , 30-Июн-05, (7)
RE:Защита внутренненго компа с помощью сервера, mga, 09:56 , 30-Июн-05, (3)
- RE:Защита внутренненго компа с помощью сервера, Сергей Петров, 12:04 , 30-Июн-05, (6)
  - RE:Защита внутренненго компа с помощью сервера, mga, 12:53 , 30-Июн-05, (8)
    - RE:Защита внутренненго компа с помощью сервера, Сергей Петров, 14:20 , 30-Июн-05, (9)
      - RE:Защита внутренненго компа с помощью сервера, mga, 15:30 , 30-Июн-05, (10)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Защита внутренненго компа с помощью сервера"

Сообщение от гы on 29-Июн-05, 23:40  (MSK)

>Есть комп, который подключен к интернету (рельный ip winxp) - соответственно его
>все вермя пытается кто-то долбать (firewall ругается). Для того, чтобы хоть
>как-нибудь обезопасить компьютер с xp - между ним и интерентом я
>поставл linux машину, у которой на внешнем интерфейсе закрыты все порты.
>Соответственно linux раздает через нат интернет машине в локалке.
>
>Скажите пожалуйста, что можно еще повесить на linux машину, чтобы еще более
>обезопасить компьютер в локалке?
>
>Заранее большое спасибо!
обезопасить полностью ты сможешь только отключив интернет.
других путей нема.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Защита внутренненго компа с помощью сервера"

Сообщение от maxim (??) on 30-Июн-05, 08:25  (MSK)

Ставить сервак для того чтоб защитить один комп, даже с WinXP - по меньшей мере неразумно.
Даже на виндовую машину можно поставить firewall ( рекомендую Outpost)и настроить его так что будет работать так же безопасно как и линукс.
Основная проблема не с фаерволом, а с сервисами светящимися наружу. Если это домашняя машина - отключить лишние службы, закрыть все порты, поставить антивирус, своевременно обновляться, непонятные программы не запускать - и тогда наступит счастье :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Защита внутренненго компа с помощью сервера"

Сообщение от Сергей Петров on 30-Июн-05, 12:01  (MSK)

>Ставить сервак для того чтоб защитить один комп, даже с WinXP -
>по меньшей мере неразумно.
Почему?
>Даже на виндовую машину можно поставить firewall ( рекомендую Outpost)и настроить его
>так что будет работать так же безопасно как и линукс.
>Основная проблема не с фаерволом, а с сервисами светящимися наружу. Если это
>домашняя машина - отключить лишние службы, закрыть все порты, поставить антивирус,
>своевременно обновляться, непонятные программы не запускать - и тогда наступит счастье
>:)
Это все есть, но чтобы перестаховаться я поставил еще и линукс машину.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Защита внутренненго компа с помощью сервера"

Сообщение от Сергей Петров on 30-Июн-05, 12:00  (MSK)

>обезопасить полностью ты сможешь только отключив интернет.
>других путей нема.
=) я это понимаю, но я не хочу полностью обезопасить - я хочу обезопасить по максимуму, как это только возможно.
PS Спасибо за содержательный ответ =)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Защита внутренненго компа с помощью сервера"

Сообщение от kolayshkin (??) on 30-Июн-05, 12:41  (MSK)

>>обезопасить полностью ты сможешь только отключив интернет.
>>других путей нема.
>
>=) я это понимаю, но я не хочу полностью обезопасить - я
>хочу обезопасить по максимуму, как это только возможно.
>
>PS Спасибо за содержательный ответ =)
Так поставь PIX перед Linux:-)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE:Защита внутренненго компа с помощью сервера"

Сообщение от mga (ok) on 30-Июн-05, 09:56  (MSK)

>Есть комп, который подключен к интернету (рельный ip winxp) - соответственно его
>все вермя пытается кто-то долбать (firewall ругается). Для того, чтобы хоть
>как-нибудь обезопасить компьютер с xp - между ним и интерентом я
>поставл linux машину, у которой на внешнем интерфейсе закрыты все порты.
>Соответственно linux раздает через нат интернет машине в локалке.
>
>Скажите пожалуйста, что можно еще повесить на linux машину, чтобы еще более
>обезопасить компьютер в локалке?
>
>Заранее большое спасибо!

Прошу прощение я не понял, а на Linux-е сейчас не настроен ipchains или iptable ? Если нет, то рекомендую это сделать, а в нём запретить все входящие пакеты с флагом syn, некторые виды пакетов icmp, убить всё с отслеживание в логах. Логи отправлять на удалённый почтовый ящик.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE:Защита внутренненго компа с помощью сервера"

Сообщение от Сергей Петров on 30-Июн-05, 12:04  (MSK)

>Прошу прощение я не понял, а на Linux-е сейчас не настроен ipchains
>или iptable ? Если нет, то рекомендую это сделать, а в
>нём запретить все входящие пакеты с флагом syn, некторые виды пакетов
>icmp, убить всё с отслеживание в логах. Логи отправлять на удалённый
>почтовый ящик.

Настройки iptables на Linux машине только включают и нат и все. Но на внешнем интерфейсе нет ни одного открытого порта, то есть никаая служба на внешнем не висит. Я так понимаю, что в таком случае вообще никаких входящие пакеты невозможны? icmp все включено - комп из нета пингутеся и трейсрутиться - имхо это не является очень серьезной проблемой.
Скажи пожалйста, что можно сделать, чтобы компьютер за linux-ом чувствовал себя совершенно замечательно?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE:Защита внутренненго компа с помощью сервера"

Сообщение от mga (ok) on 30-Июн-05, 12:53  (MSK)

>>Прошу прощение я не понял, а на Linux-е сейчас не настроен ipchains
>>или iptable ? Если нет, то рекомендую это сделать, а в
>>нём запретить все входящие пакеты с флагом syn, некторые виды пакетов
>>icmp, убить всё с отслеживание в логах. Логи отправлять на удалённый
>>почтовый ящик.
>
>
>Настройки iptables на Linux машине только включают и нат и все. Но
>на внешнем интерфейсе нет ни одного открытого порта, то есть никаая
>служба на внешнем не висит. Я так понимаю, что в таком
>случае вообще никаких входящие пакеты невозможны?
Ну я бы не был так категоричен, вот например как работает ftp?
Вы заходите на чей-то ftp сервер и у вас образуется открытый порт для дата соединения...  Кончено если бы вы просто убивали все пакеты syn вы бы не смогли тогда никуда заходить по ftp ...
Какова гарантия что ни одно из установленных приложений в какой-то момент не откроет какой-ниубдь порт и начнёт его слушать?
>icmp все включено - комп
>из нета пингутеся и трейсрутиться - имхо это не является очень
>серьезной проблемой.
Ну как сказать. Вот что будет если кто-то начнёт вас пинговать пакетами icmp специального вида, например с обратным адресом вашего провайдера?
Тогда ваш комп начнёт отвечать вашему провайдеру... А если у провайдера некорректно настроен маршрутизатор то при ICMP с обратным адресом куда-то в африку ваш комп начнёт отвечать куда-то в африку.
>Скажи пожалйста, что можно сделать, чтобы компьютер за linux-ом чувствовал себя совершенно
>замечательно?
Я не знаю насколько сейчас дрявое ipchains или iptable, но может имеет смысл используя их ещё раз перекрыть все порты с логированием? Тогда хотя бы будет видно что творится и кто куда чего пытался послать или присоединиться... Можно даже не перекрывать, а просто регистрировать, это даже можно использовать для подсчёта трафика.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE:Защита внутренненго компа с помощью сервера"

Сообщение от Сергей Петров on 30-Июн-05, 14:20  (MSK)

>>Настройки iptables на Linux машине только включают и нат и все. Но
>>на внешнем интерфейсе нет ни одного открытого порта, то есть никаая
>>служба на внешнем не висит. Я так понимаю, что в таком
>>случае вообще никаких входящие пакеты невозможны?
>Ну я бы не был так категоричен, вот например как работает ftp?
>Вы заходите на чей-то ftp сервер и у вас образуется открытый порт
>для дата соединения...  Кончено если бы вы просто убивали все
>пакеты syn вы бы не смогли тогда никуда заходить по ftp
>...
>Какова гарантия что ни одно из установленных приложений в какой-то момент не
>откроет какой-ниубдь порт и начнёт его слушать?
??? вообще-то я всегда считал, что вообще при любом обращение к чему-нить открывается порт на машине и от него идет содение к удаленному компу. Но этот порт автоматически закрывается. А гарантия того, что ни одно из установленных приложение не откроет порт - это то, что компьютеры пока еще не живут своей жизнью - у меня настроено, что все порты закрыты на внешнем интерфейсе и я очень надюсь, что линукс не начнет сам открывать порты.
>>icmp все включено - комп
>>из нета пингутеся и трейсрутиться - имхо это не является очень
>>серьезной проблемой.
>Ну как сказать. Вот что будет если кто-то начнёт вас пинговать пакетами
>icmp специального вида, например с обратным адресом вашего провайдера?
>Тогда ваш комп начнёт отвечать вашему провайдеру... А если у провайдера >некорректно настроен маршрутизатор то при ICMP с обратным адресом куда-то >в африку ваш комп начнёт отвечать куда-то в африку.
хм. я не вижу в этом большой проблемы - единственно что плохо - это то что будет тратиться трафик, я надюсь, что современное ядро линукса умеет само более или менее избегать этих атак. а закрывать пиги я считаю что это плохо.
>>Скажи пожалйста, что можно сделать, чтобы компьютер за linux-ом >>чувствовал себя совершенно замечательно?
>Я не знаю насколько сейчас дрявое ipchains или iptable, но может имеет
>смысл используя их ещё раз перекрыть все порты с логированием? Тогда
>хотя бы будет видно что творится и кто куда чего пытался
>послать или присоединиться... Можно даже не перекрывать, а просто >регистрировать, это даже можно использовать для подсчёта трафика.
Подсчет трафика ведется (как раз средствами iptables), но внешние порты все закрты - то есть никакая программа на внешнем интерфейсе ничего не слушает. Скажите, нужно ли в таком случае закрывать iptables-ом все порты? Зачем, если ничего и так не ответчает? Логирование. Логирование это хорошо - нужно будет подумать в этом направление. Спасибо.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE:Защита внутренненго компа с помощью сервера"

Сообщение от mga (ok) on 30-Июн-05, 15:30  (MSK)

>??? вообще-то я всегда считал, что вообще при любом обращение к чему-нить
>открывается порт на машине и от него идет содение к удаленному
>компу. Но этот порт автоматически закрывается. А гарантия того, что ни
>одно из установленных приложение не откроет порт - это то, что
>компьютеры пока еще не живут своей жизнью - у меня настроено,
>что все порты закрыты на внешнем интерфейсе и я очень надюсь,
>что линукс не начнет сам открывать порты.
Всё верно, но тем не менее ftp имет два канала канал управления где вы клиент и дата канал в котром кто будет клиентом вообще говоря непонятно.
На 20 порт к вам могут начать идти syn пакеты. (я это привёл как пример)
А на самом деле я видел как подменяется netstat на такое
#!/bin/sh
netstat $@ | grep -v "33356"
И вещается троян на порту 33356
Таким образом админ будучи уверен что у него всё закрыто живёт и ничего не замечает.
>хм. я не вижу в этом большой проблемы - единственно что плохо
>- это то что будет тратиться трафик, я надюсь, что современное
>ядро линукса умеет само более или менее избегать этих атак. а
>закрывать пиги я считаю что это плохо.
А кто говорит про пинги ? Я говорю про icmp просто запретить определённые типы icmp (5,9,13,14,15,16,17) пинги при этом будут нормально работать!
>Подсчет трафика ведется (как раз средствами iptables), но внешние порты все закрты
>- то есть никакая программа на внешнем интерфейсе ничего не слушает.
>Скажите, нужно ли в таком случае закрывать iptables-ом все порты? Зачем,
>если ничего и так не ответчает? Логирование. Логирование это хорошо -
>нужно будет подумать в этом направление. Спасибо.
Тем более раз вы уже используете iptable, то нужно выставить правило регистрации или запрета с логированием.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Защита внутренненго компа с помощью сервера"
Сообщение от гы on 29-Июн-05, 23:40 (MSK)
>Есть комп, который подключен к интернету (рельный ip winxp) - соответственно его >все вермя пытается кто-то долбать (firewall ругается). Для того, чтобы хоть >как-нибудь обезопасить компьютер с xp - между ним и интерентом я >поставл linux машину, у которой на внешнем интерфейсе закрыты все порты. >Соответственно linux раздает через нат интернет машине в локалке. > >Скажите пожалуйста, что можно еще повесить на linux машину, чтобы еще более >обезопасить компьютер в локалке? > >Заранее большое спасибо! обезопасить полностью ты сможешь только отключив интернет. других путей нема.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Защита внутренненго компа с помощью сервера"
	Сообщение от maxim (??) on 30-Июн-05, 08:25 (MSK)
	Ставить сервак для того чтоб защитить один комп, даже с WinXP - по меньшей мере неразумно. Даже на виндовую машину можно поставить firewall ( рекомендую Outpost)и настроить его так что будет работать так же безопасно как и линукс. Основная проблема не с фаерволом, а с сервисами светящимися наружу. Если это домашняя машина - отключить лишние службы, закрыть все порты, поставить антивирус, своевременно обновляться, непонятные программы не запускать - и тогда наступит счастье :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Защита внутренненго компа с помощью сервера"
	Сообщение от Сергей Петров on 30-Июн-05, 12:01 (MSK)
	>Ставить сервак для того чтоб защитить один комп, даже с WinXP - >по меньшей мере неразумно. Почему? >Даже на виндовую машину можно поставить firewall ( рекомендую Outpost)и настроить его >так что будет работать так же безопасно как и линукс. >Основная проблема не с фаерволом, а с сервисами светящимися наружу. Если это >домашняя машина - отключить лишние службы, закрыть все порты, поставить антивирус, >своевременно обновляться, непонятные программы не запускать - и тогда наступит счастье >:) Это все есть, но чтобы перестаховаться я поставил еще и линукс машину.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Защита внутренненго компа с помощью сервера"
	Сообщение от Сергей Петров on 30-Июн-05, 12:00 (MSK)
	>обезопасить полностью ты сможешь только отключив интернет. >других путей нема. =) я это понимаю, но я не хочу полностью обезопасить - я хочу обезопасить по максимуму, как это только возможно. PS Спасибо за содержательный ответ =)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Защита внутренненго компа с помощью сервера"
	Сообщение от kolayshkin (??) on 30-Июн-05, 12:41 (MSK)
	>>обезопасить полностью ты сможешь только отключив интернет. >>других путей нема. > >=) я это понимаю, но я не хочу полностью обезопасить - я >хочу обезопасить по максимуму, как это только возможно. > >PS Спасибо за содержательный ответ =) Так поставь PIX перед Linux:-)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "RE:Защита внутренненго компа с помощью сервера"
Сообщение от mga (ok) on 30-Июн-05, 09:56 (MSK)
>Есть комп, который подключен к интернету (рельный ip winxp) - соответственно его >все вермя пытается кто-то долбать (firewall ругается). Для того, чтобы хоть >как-нибудь обезопасить компьютер с xp - между ним и интерентом я >поставл linux машину, у которой на внешнем интерфейсе закрыты все порты. >Соответственно linux раздает через нат интернет машине в локалке. > >Скажите пожалуйста, что можно еще повесить на linux машину, чтобы еще более >обезопасить компьютер в локалке? > >Заранее большое спасибо! Прошу прощение я не понял, а на Linux-е сейчас не настроен ipchains или iptable ? Если нет, то рекомендую это сделать, а в нём запретить все входящие пакеты с флагом syn, некторые виды пакетов icmp, убить всё с отслеживание в логах. Логи отправлять на удалённый почтовый ящик.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE:Защита внутренненго компа с помощью сервера"
	Сообщение от Сергей Петров on 30-Июн-05, 12:04 (MSK)
	>Прошу прощение я не понял, а на Linux-е сейчас не настроен ipchains >или iptable ? Если нет, то рекомендую это сделать, а в >нём запретить все входящие пакеты с флагом syn, некторые виды пакетов >icmp, убить всё с отслеживание в логах. Логи отправлять на удалённый >почтовый ящик. Настройки iptables на Linux машине только включают и нат и все. Но на внешнем интерфейсе нет ни одного открытого порта, то есть никаая служба на внешнем не висит. Я так понимаю, что в таком случае вообще никаких входящие пакеты невозможны? icmp все включено - комп из нета пингутеся и трейсрутиться - имхо это не является очень серьезной проблемой. Скажи пожалйста, что можно сделать, чтобы компьютер за linux-ом чувствовал себя совершенно замечательно?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE:Защита внутренненго компа с помощью сервера"
	Сообщение от mga (ok) on 30-Июн-05, 12:53 (MSK)
	>>Прошу прощение я не понял, а на Linux-е сейчас не настроен ipchains >>или iptable ? Если нет, то рекомендую это сделать, а в >>нём запретить все входящие пакеты с флагом syn, некторые виды пакетов >>icmp, убить всё с отслеживание в логах. Логи отправлять на удалённый >>почтовый ящик. > > >Настройки iptables на Linux машине только включают и нат и все. Но >на внешнем интерфейсе нет ни одного открытого порта, то есть никаая >служба на внешнем не висит. Я так понимаю, что в таком >случае вообще никаких входящие пакеты невозможны? Ну я бы не был так категоричен, вот например как работает ftp? Вы заходите на чей-то ftp сервер и у вас образуется открытый порт для дата соединения... Кончено если бы вы просто убивали все пакеты syn вы бы не смогли тогда никуда заходить по ftp ... Какова гарантия что ни одно из установленных приложений в какой-то момент не откроет какой-ниубдь порт и начнёт его слушать? >icmp все включено - комп >из нета пингутеся и трейсрутиться - имхо это не является очень >серьезной проблемой. Ну как сказать. Вот что будет если кто-то начнёт вас пинговать пакетами icmp специального вида, например с обратным адресом вашего провайдера? Тогда ваш комп начнёт отвечать вашему провайдеру... А если у провайдера некорректно настроен маршрутизатор то при ICMP с обратным адресом куда-то в африку ваш комп начнёт отвечать куда-то в африку. >Скажи пожалйста, что можно сделать, чтобы компьютер за linux-ом чувствовал себя совершенно >замечательно? Я не знаю насколько сейчас дрявое ipchains или iptable, но может имеет смысл используя их ещё раз перекрыть все порты с логированием? Тогда хотя бы будет видно что творится и кто куда чего пытался послать или присоединиться... Можно даже не перекрывать, а просто регистрировать, это даже можно использовать для подсчёта трафика.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE:Защита внутренненго компа с помощью сервера"
	Сообщение от Сергей Петров on 30-Июн-05, 14:20 (MSK)
	>>Настройки iptables на Linux машине только включают и нат и все. Но >>на внешнем интерфейсе нет ни одного открытого порта, то есть никаая >>служба на внешнем не висит. Я так понимаю, что в таком >>случае вообще никаких входящие пакеты невозможны? >Ну я бы не был так категоричен, вот например как работает ftp? >Вы заходите на чей-то ftp сервер и у вас образуется открытый порт >для дата соединения... Кончено если бы вы просто убивали все >пакеты syn вы бы не смогли тогда никуда заходить по ftp >... >Какова гарантия что ни одно из установленных приложений в какой-то момент не >откроет какой-ниубдь порт и начнёт его слушать? ??? вообще-то я всегда считал, что вообще при любом обращение к чему-нить открывается порт на машине и от него идет содение к удаленному компу. Но этот порт автоматически закрывается. А гарантия того, что ни одно из установленных приложение не откроет порт - это то, что компьютеры пока еще не живут своей жизнью - у меня настроено, что все порты закрыты на внешнем интерфейсе и я очень надюсь, что линукс не начнет сам открывать порты. >>icmp все включено - комп >>из нета пингутеся и трейсрутиться - имхо это не является очень >>серьезной проблемой. >Ну как сказать. Вот что будет если кто-то начнёт вас пинговать пакетами >icmp специального вида, например с обратным адресом вашего провайдера? >Тогда ваш комп начнёт отвечать вашему провайдеру... А если у провайдера >некорректно настроен маршрутизатор то при ICMP с обратным адресом куда-то >в африку ваш комп начнёт отвечать куда-то в африку. хм. я не вижу в этом большой проблемы - единственно что плохо - это то что будет тратиться трафик, я надюсь, что современное ядро линукса умеет само более или менее избегать этих атак. а закрывать пиги я считаю что это плохо. >>Скажи пожалйста, что можно сделать, чтобы компьютер за linux-ом >>чувствовал себя совершенно замечательно? >Я не знаю насколько сейчас дрявое ipchains или iptable, но может имеет >смысл используя их ещё раз перекрыть все порты с логированием? Тогда >хотя бы будет видно что творится и кто куда чего пытался >послать или присоединиться... Можно даже не перекрывать, а просто >регистрировать, это даже можно использовать для подсчёта трафика. Подсчет трафика ведется (как раз средствами iptables), но внешние порты все закрты - то есть никакая программа на внешнем интерфейсе ничего не слушает. Скажите, нужно ли в таком случае закрывать iptables-ом все порты? Зачем, если ничего и так не ответчает? Логирование. Логирование это хорошо - нужно будет подумать в этом направление. Спасибо.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE:Защита внутренненго компа с помощью сервера"
	Сообщение от mga (ok) on 30-Июн-05, 15:30 (MSK)
	>??? вообще-то я всегда считал, что вообще при любом обращение к чему-нить >открывается порт на машине и от него идет содение к удаленному >компу. Но этот порт автоматически закрывается. А гарантия того, что ни >одно из установленных приложение не откроет порт - это то, что >компьютеры пока еще не живут своей жизнью - у меня настроено, >что все порты закрыты на внешнем интерфейсе и я очень надюсь, >что линукс не начнет сам открывать порты. Всё верно, но тем не менее ftp имет два канала канал управления где вы клиент и дата канал в котром кто будет клиентом вообще говоря непонятно. На 20 порт к вам могут начать идти syn пакеты. (я это привёл как пример) А на самом деле я видел как подменяется netstat на такое #!/bin/sh netstat $@ \| grep -v "33356" И вещается троян на порту 33356 Таким образом админ будучи уверен что у него всё закрыто живёт и ничего не замечает. >хм. я не вижу в этом большой проблемы - единственно что плохо >- это то что будет тратиться трафик, я надюсь, что современное >ядро линукса умеет само более или менее избегать этих атак. а >закрывать пиги я считаю что это плохо. А кто говорит про пинги ? Я говорю про icmp просто запретить определённые типы icmp (5,9,13,14,15,16,17) пинги при этом будут нормально работать! >Подсчет трафика ведется (как раз средствами iptables), но внешние порты все закрты >- то есть никакая программа на внешнем интерфейсе ничего не слушает. >Скажите, нужно ли в таком случае закрывать iptables-ом все порты? Зачем, >если ничего и так не ответчает? Логирование. Логирование это хорошо - >нужно будет подумать в этом направление. Спасибо. Тем более раз вы уже используете iptable, то нужно выставить правило регистрации или запрета с логированием.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]