iptables - w lancuchu OUTPUT wylacznie ruch IN.

[Matrixx]

Filtrowanie po MACu albo portach jest praktycznie bezwartosciowe, MAC mozna "random fake" robactwo rowniez moze zastosowac
" random ports" jezeli wg twojego sposobu myslenia da sie im pole manewru (wiele otwartych portow) Tylko rygorystyczny firewall daje czesciowe zabezpieczenie. Stad nienowa idea bastionu z minimum wejsc/wyjsc. Wychodza tylko uprawnieni.

[Yampress]

zabezpiecz tak system aby żaden robak nie mógł się tam osadzić. I nie potrzeba wtedy takiego firewalla co se wymyśliłeś

[lizard]

Twórcy robaków głupi nie są i też korzystają z "popularnych" portów od 80 zaczynając.

[Matrixx]

To prawda, ale zawsze mozna sprawdzic ktore aplikacje nasluchuja, aktore juz maja ustanowione polaczenie np:

Kod: Zaznacz cały

while true; do netstat -apute; echo; echo; sleep 15; done

nastepnie wg wlasciciela przepuscic lub zablokowac np:

Kod: Zaznacz cały

iptables -A OUTPUT -m owner --uid-owner 500 -j DROP

Mozna tez wsadzic podejrzany proces do cgroup, ktora zostanie zablokowana na wyjsciu przez iptables:

Kod: Zaznacz cały

mkdir /sys/fs/cgroup/net_cls/block
echo 42 > /sys/fs/cgroup/net_cls/block/net_cls.classid

iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP

echo [pid] > /sys/fs/cgroup/net_cls/block/tasks

Mozna tez poznac porty uzywane przez aplikacje znajac jej PID np:

Kod: Zaznacz cały

netstat --all --program | grep '5343'

Jak widzisz mozna bardzo wiele, jak sie chce.
Moze sam masz jakies ciekawe pomysly?

zabezpiecz tak system aby żaden robak nie mógł się tam osadzić. I nie potrzeba wtedy takiego firewalla co se wymyśliłeś

To 50% racji. Poszukaj informacji jak Microsoft rozpoczol dodawanie uploadu to polaczen linuksowych, to jest juz niestety prawda.
W takiej sytuacji zabezpieczanie musi objac INPUT i OUTPUT.

[marcin1982]

Mała uwaga - nie pisz postu pod postem - używaj opcji edytuj.