Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

iptables - w lancuchu OUTPUT wylacznie ruch IN.

https://www.debian.pl/viewtopic.php?t=33958

Strona 4 z 4

Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.

: 13 czerwca 2016, 19:47
autor: Matrixx
Filtrowanie po MACu albo portach jest praktycznie bezwartosciowe, MAC mozna "random fake" robactwo rowniez moze zastosowac
" random ports" jezeli wg twojego sposobu myslenia da sie im pole manewru (wiele otwartych portow) Tylko rygorystyczny firewall daje czesciowe zabezpieczenie. Stad nienowa idea bastionu z minimum wejsc/wyjsc. Wychodza tylko uprawnieni.

Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.

: 13 czerwca 2016, 19:49
autor: Yampress
zabezpiecz tak system aby żaden robak nie mógł się tam osadzić. I nie potrzeba wtedy takiego firewalla co se wymyśliłeś

Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.

: 13 czerwca 2016, 20:46
autor: lizard
Twórcy robaków głupi nie są i też korzystają z "popularnych" portów od 80 zaczynając.

Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.

: 13 czerwca 2016, 22:22
autor: Matrixx
To prawda, ale zawsze mozna sprawdzic ktore aplikacje nasluchuja, aktore juz maja ustanowione polaczenie np:

Kod: Zaznacz cały

while true; do netstat -apute; echo; echo; sleep 15; done
nastepnie wg wlasciciela przepuscic lub zablokowac np:

Kod: Zaznacz cały

iptables -A OUTPUT -m owner --uid-owner 500 -j DROP
Mozna tez wsadzic podejrzany proces do cgroup, ktora zostanie zablokowana na wyjsciu przez iptables:

Kod: Zaznacz cały

mkdir /sys/fs/cgroup/net_cls/block
echo 42 > /sys/fs/cgroup/net_cls/block/net_cls.classid

iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP

echo [pid] > /sys/fs/cgroup/net_cls/block/tasks
Mozna tez poznac porty uzywane przez aplikacje znajac jej PID np:

Kod: Zaznacz cały

netstat --all --program | grep '5343'
Jak widzisz mozna bardzo wiele, jak sie chce.
Moze sam masz jakies ciekawe pomysly?
Yampress pisze:zabezpiecz tak system aby żaden robak nie mógł się tam osadzić. I nie potrzeba wtedy takiego firewalla co se wymyśliłeś
To 50% racji. Poszukaj informacji jak Microsoft rozpoczol dodawanie uploadu to polaczen linuksowych, to jest juz niestety prawda.
W takiej sytuacji zabezpieczanie musi objac INPUT i OUTPUT.

Re: iptables - w lancuchu OUTPUT wylacznie ruch IN.

: 13 czerwca 2016, 22:29
autor: marcin1982
Mała uwaga - nie pisz postu pod postem - używaj opcji edytuj.
Strefa czasowa UTC+02:00
Strona 4 z 4

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl