dominant Δημοσ. 1 Φεβρουαρίου 2004 Δημοσ. 1 Φεβρουαρίου 2004 Gia sas psaxnontas ta iptables ligaki kalutera, mou exei dhmiourgh8ei h entyposh pos einai ena apo ta polu kala ergalia gia na asfalisei kapoios to susthma tou. Sugkekrimena, ego 8elo 2 systhmata na epikoinonoun monaxa metaksy tous, mporei to iptables na egguh8ei oti ta 2 auta mixanhmata 8a minoun anepafa apo crackers? Euxaristo ek ton proteron.
apoikos Δημοσ. 1 Φεβρουαρίου 2004 Δημοσ. 1 Φεβρουαρίου 2004 Ναι, μπορείς να ορίσεις στην INPUT chain να δέχεται πακέτα μόνο με source address αυτή του άλλου υπολογιστή και να κάνει DROP ή REJECT όλα τα υπόλοιπα. Μμάλιστα για να είσαι ασφαλής έναντι IP Spoofing και εφ'όσον οι δύο υπολογιστές συνδέονται απευθείας μεταξύ τους (χωρίς να μεσολαβεί router ή κάτι τέτοιο), μπορείς να το βάλεις να κάνει MAC filtering. Τώρα τελείως ανέπαφο δεν είναι κανένα σύστημα, αλλά οι πιθανότητες να περάσει κάποιος από τα kernel ip tables είναι πολύ μικρές, έως μηδενικές.
Lupus Δημοσ. 1 Φεβρουαρίου 2004 Δημοσ. 1 Φεβρουαρίου 2004 Nai ame Mporeis na kaneis kai stis 2 mixanes drop ola ta paketa pou katafthanoun se aytes kai na eksaireseis mono oti paketa erxontai apo mia sygkekrimeni mac address. Me ton tropo ayto kai koveis tous ypoloipous kai apofeygeis to ip spoofing. E kai gia kalou kakou allazeis kai tis portes pou trexoun oi servers sou sto kathe mixanima. Oso gia na sou eggyeithei kapoios oti mporei na meinoun anepafa apo crackers den ginetai. Panta kapoios tha kserei kati parapanw apo sena...alla sinithws aytos o kapoios den tha prospathisei na mpei sto sistima sou giati tha einai programmatistis tis IBM as poume...
dominant Δημοσ. 1 Φεβρουαρίου 2004 Μέλος Δημοσ. 1 Φεβρουαρίου 2004 1) kala mac address, prosopika den mporo oute na episteu8o ka8oson allazei akoma kai ekeinh eukola, parola auta prepei o cracker na einai magos gia na vrei thn remote mac address pou 8a dexomai 2) Ena allo erotima einai pos mporo na kano restore sto boot ta dika mou rules. px # iptables-save > /etc/myrules 3) an ka8ariso to input chain kai ftakso ta dika mou, afhnontas to FORWARD kai OUTPUT opos exei default, mporo na eimai asfaleis h 8eloun kai auta peiragma?
apoikos Δημοσ. 1 Φεβρουαρίου 2004 Δημοσ. 1 Φεβρουαρίου 2004 1) Η MAC Address είναι 48 bit, ενώ η IP είναι 32. Περισσότερες MAC Addresses=μικρότερες πιθανότητες. Άσε που οι IP ακολουθούν συγκεκριμένο scheme (μπορεί ο άλλος εύκολα να βρει το subnet στο οποίο είσαι). Επίσης η MAC address χάνεται μετά το 1ο hop, οπότε δεν υπάρχει περίπτωση να φας ranged attack. Εξαρτάται ωστόσο από την εφαρμογή. π.χ. σε μία ip-forwarding gateway όλα τα πακέτα που μπαίνουν μέσα έχουν τη MAC της gateway, οπότε δεν καταφέρνεις τίποτα. 2) Να τα γράψεις στο rc.local 3) Το FORWARD δε σε αφορά αν δεν κάνεις IP forwarding. Η output chain χρησιμεύει μόνο για να κόψεις κάποιο πρόγραμμα που δε θες να επικοινωνεί με τον έξω κόσμο. Για την ασφάλεια του συστήματός σου από έξω σε ενδιαφέρει μόνο η INPUT. 4) man iptables 5) man iptables 6) man iptables
NeTd4mN Δημοσ. 1 Φεβρουαρίου 2004 Δημοσ. 1 Φεβρουαρίου 2004 Sto suse an thes na valeis kati na pexei sto boot valtw sto /etc/init.d/boot.local 8)
dominant Δημοσ. 2 Φεβρουαρίου 2004 Μέλος Δημοσ. 2 Φεβρουαρίου 2004 Mesa sto boot.local edosa iptables -F INPUT iptables -I INPUT -s 192.168.1.4 -p tcp --dport 80 -j ACCEPT alla den epiase, den mpikan ta nea rules. 8elo o 192.168.1.4 na exei mono access ston apache kai kanena allo port opos kai oloi oi alloi upologistes
NeTd4mN Δημοσ. 2 Φεβρουαρίου 2004 Δημοσ. 2 Φεβρουαρίου 2004 Ftiaxe ena scriptaki me ola ta rules tou iptables, kane prwta drop ola ta input kai meta accept thn port 80. Kantw executable kai dwse to directory tou mesa sto boot.local.
apoikos Δημοσ. 2 Φεβρουαρίου 2004 Δημοσ. 2 Φεβρουαρίου 2004 Πρέπει μετά το iptables -F να δώσεις iptables -P INPUT DROP για να καθορίσεις ως default policy την DROP για τα πακέτα που δεν ταιριάζουν σε κανένα φίλτρο.
dominant Δημοσ. 3 Φεβρουαρίου 2004 Μέλος Δημοσ. 3 Φεβρουαρίου 2004 edosa mesa sto boot.local /ip-rules (executables apo to root) alla den alakse tipota sto boot.
apoikos Δημοσ. 3 Φεβρουαρίου 2004 Δημοσ. 3 Φεβρουαρίου 2004 Πρέπει πρώτα να βρεις που ορίζει τα defaults του το SuSE και να τα βγάλεις εκτός (π.χ. αν έχει rc.firewall ή κάτι τέτοιο βγάλ' το εκτός runlevel) και μετά βάλε τα δικά σου στο boot.local. Δοκίμασε πρώτα ως root να δώσεις: iptables -F (όχι iptables -F INPUT γιατί θα κάνεις flush μόνο την input) iptables -t nat -F και μετά δώσε τις εντολές για τα filters που θες και δες το αποτέλεσμα με iptables -L hint: Αν καταφέρεις να φτιάξεις τα rules που θες και σε ικανοποιούν, δώσε iptables-save > /etc/mytables. Μπορείς μετά όποια ώρα θες να τους επαναφέρεις δίνοντας iptables-restore < /etc/mytables. Και μία παράκληση, επειδή τα greeklish έχουν αρχίσει να μου τη δίνουν πολύ: Ράιτ γκρηκ γουιθ γκρηκ καρακτερς
apoikos Δημοσ. 4 Φεβρουαρίου 2004 Δημοσ. 4 Φεβρουαρίου 2004 Επίσης τυχαίνει, παρόλο που είμαι μειονότητα, να δίνω και πρακτικές συμβουλές :P You wouldn't want that to change, would you?
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.