форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Другая система)
Изначальное сообщение		[ Отслеживать ]

"-Блиц вопросы по общим направлениям-"	–1 +/–
Сообщение от flosisa (ok) on 05-Фев-15, 23:51
Надо быстро отвечать все таки это блиц! :)) 1. Как группировать в Керио правила, чтоб одним кликом можно было отключить несколько правил? А в iptables это возможно? Имеется ввиду правила находятся в разных таблицах и чепочках. Пользовательские цепочки помоему не помогут. 2. Во многих статьях по iptables заметил вот это, пример: iptables -А INPUT -s Х.Х.Х.Х -j LOG iptables -А INPUT -s Х.Х.Х.Х -j DROP    Я всегда думал, что когда iptables принимает решение - отправить пакет (jump) к дейтсвию LOG, пакет журналируется и уничтожается и не передается на следующее правило. Если так, зачем DROP'ить пакет, который уже останавливал свой путь на предыдушей правиле? 3. route добавлен в /etc/rc.local чтобы после reboot'а автоматический прописывался нужный маршрут. Но как сделать, чтобы rc.local зaпустился после демонов, например после crond. P.S. В cron добавлен скрипт, который поднимает после reboot'а в системе интерфейсы как tun, tap или bridge. В rc.local указан route: route add -net 1.1.1.0 netmask 255.255.255.0 gw 1.1.2.1 dev br1 Если не указать "dev" система выбырает другой interface. rc.local запускается, но к этому времени система не знает, че за interface br1, потому что еще не запускался crond. Вот поэтому route не прописывается после перезагрузки. Поменять очередь загрузки для таких файлов как rc.local помоему нельзя или ...? А тогда как быть? Как прописать статический нужный маршрут(-p нету как в Windows)? 4. Два одинаковых Linux сервера RHEL. 1-ом добавляется маршрут таким образом: route add Х.Х.Х.Х. netmask 255.255.255.0 gw Y.Y.Y.Y 2-ом только так: route add -net Х.Х.Х.Х netmask 255.255.255.0 gw Y.Y.Y.Y Где это можно перенастроить? Синтаксис почему отличается? 5. Когда ipset не поднимается по каким-то причинам после reboot'а, например в автозагрузке он отключен, тогда и iptables не поднимаетя как надо и в системе отключается firewall. Это как раз таки мечтает злоумышленник. Злоумышленник может ли заставить ipset, чтобы он не поднялся нормально после reboot'a? Если даже нет, как думаете, связка ipset и iptables не так уж надежна как предпологалось и имеет уязвимости или я ошибаюсь? Ну у других как не знаю, но у меня такое точно случилось. Ну я читал в doc'ах, что ipset надо стартовать раньше чем iptables. Но не думал, что iptables на это реагирует так сильно и вообще не запустится. Кто ответить на все 5 вопросов в течении 5 минут получит 5! :)) Заранее всем огромное спасибо!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "-Блиц вопросы по общим направлениям-"	–1 +/–
Сообщение от flosisa (ok) on 05-Фев-15, 23:55
>[оверквотинг удален] > в системе отключается firewall. Это как раз таки мечтает злоумышленник. Злоумышленник > может ли заставить ipset, чтобы он не поднялся нормально после reboot'a? > Если даже нет, как думаете, связка ipset и iptables не так > уж надежна как предпологалось и имеет уязвимости или я ошибаюсь? Ну > у других как не знаю, но у меня такое точно случилось. > Ну я читал в doc'ах, что ipset надо стартовать раньше чем > iptables. Но не думал, что iptables на это реагирует так сильно > и вообще не запустится. > Кто ответить на все 5 вопросов в течении 5 минут получит 5! > :)) Заранее всем огромное спасибо!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "-Блиц вопросы по общим направлениям-"	+/–
Сообщение от universite (ok) on 06-Фев-15, 00:48
Почитайте умные книжки по работе сетевой подсистемы Linux. Там должно быть разжевано много нетривиальных моментов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "-Блиц вопросы по общим направлениям-"	+/–
Сообщение от fantom (ok) on 06-Фев-15, 11:00
>[оверквотинг удален] > в системе отключается firewall. Это как раз таки мечтает злоумышленник. Злоумышленник > может ли заставить ipset, чтобы он не поднялся нормально после reboot'a? > Если даже нет, как думаете, связка ipset и iptables не так > уж надежна как предпологалось и имеет уязвимости или я ошибаюсь? Ну > у других как не знаю, но у меня такое точно случилось. > Ну я читал в doc'ах, что ipset надо стартовать раньше чем > iptables. Но не думал, что iptables на это реагирует так сильно > и вообще не запустится. > Кто ответить на все 5 вопросов в течении 5 минут получит 5! > :)) Заранее всем огромное спасибо! Незнаю как кто какаю 5-ку, а вы свою 2-ку уже заработали :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "-Блиц вопросы по общим направлениям-"	+/–
	Сообщение от fantom (ok) on 06-Фев-15, 11:01
	>[оверквотинг удален] >> может ли заставить ipset, чтобы он не поднялся нормально после reboot'a? >> Если даже нет, как думаете, связка ipset и iptables не так >> уж надежна как предпологалось и имеет уязвимости или я ошибаюсь? Ну >> у других как не знаю, но у меня такое точно случилось. >> Ну я читал в doc'ах, что ipset надо стартовать раньше чем >> iptables. Но не думал, что iptables на это реагирует так сильно >> и вообще не запустится. >> Кто ответить на все 5 вопросов в течении 5 минут получит 5! >> :)) Заранее всем огромное спасибо! > Незнаю как кто какаю 5-ку, а вы свою 2-ку уже заработали :) 1.а Снести керио..... 1.б перейти на firewalld, сформировать профили и переключать профили одной командой...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "-Блиц вопросы по общим направлениям-"	+/–
Сообщение от DeadLoco (ok) on 07-Фев-15, 00:11
> Надо быстро отвечать все таки это блиц! :)) Иди на "Астру"... (с)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема