Strona 2 z 3
: 24 maja 2015, 12:22
autor: NieGooglujMnie
=
: 24 maja 2015, 13:27
autor: grzesiek
Strata czasu, wiedziałem, że tak będzie.
: 24 maja 2015, 14:04
autor: Yampress
Racja. I tak nie będzie w stanie 100% wszystkiego kontrolować.
IDS i jeszcze parę zabawek i starczy.
A tak w ogóle po co potrzebne Ci takie logi co dokładnie się dzieje.. Wiesz 50% administratorów nie wie co się w ich sieci dzieje...
: 25 maja 2015, 09:23
autor: Czeladnikx
NieGooglujMnie pisze:Takie 2 zasady:
1) Można dużo rzeczy potestować na maszynach wirtualnych, dotyczy to np. forwardowania, blokowania/udostępniania portów.
2) Najpierw blokujesz się cały, w 100%. Wszystko zamykasz. A później krok po kroku otwierasz porty/usługi. Robisz taką twierdzę, którą trochę - za każdym krokiem - otwierasz. ALE nie odwrotnie, czyli nie tak: otwarty >> coraz bardziej zamknięty.
Ale właśnie tak: całkowicie zamknięty >> coraz bardziej otwarty.
Ustawiasz tylko te regułki, które rozumiesz i wiesz dlaczego takie są. Lepiej ustawić regułkę prostacką i zrozumiałą, niż wyrafinowaną ale nie do przeanalizowania "po co to jest".
Przeciez na poczatku topicu napisalem: 3xDROP !!!
: 25 maja 2015, 09:25
autor: Czeladnikx
Yampress pisze:Racja. I tak nie będzie w stanie 100% wszystkiego kontrolować.
IDS i jeszcze parę zabawek i starczy.
A tak w ogóle po co potrzebne Ci takie logi co dokładnie się dzieje.. Wiesz 50% administratorów nie wie co się w ich sieci dzieje...
To jacy z nich admini???
Chce poznac mozliwosci jakie daje iptables, i znakomicie wiem ze to nie wszystko, ale bardzo duzo.
Dlaczego zamiast pomoc to zniechecacie?
: 25 maja 2015, 09:39
autor: grzesiek
Poświęciłem czas na twoje zachcianki, po czym stwierdziłeś, że takie rozwiązanie Ci się nie podoba. Mógłbym teraz zapytać dlaczego marnujesz mój czas?
: 25 maja 2015, 10:37
autor: Czeladnikx
grzesiek pisze:Poświęciłem czas na twoje zachcianki, po czym stwierdziłeś, że takie rozwiązanie Ci się nie podoba. Mógłbym teraz zapytać dlaczego marnujesz mój czas?
O czym tu mowisz, destrukcja zamiast konstrukcji.
Jezeli w ten sposob zamierzasz komunikowac sie z innymi ludzmi, zbywajac ich, badz lekcewazac to po co sie meczyc?
: 25 maja 2015, 12:01
autor: dedito
Jeśli dobrze rozumiem, to wątek w zasadzie jest o nakładaniu patchy na jądro i do tego się powinien ograniczać.
O patchowaniu kernela masz tony informacji w Internecie.
Być może te moduły można też skompilować jako dynamicznie dodawane do jądra (za pomocą modprobe).
: 25 maja 2015, 13:41
autor: grzesiek
Nie na jądro tylko na iptables. Moim zdaniem to rozwiązanie co przedstawiłem + prawidłowa konfiguracja cgroups powinna wystarczyć:
https://www.kernel.org/doc/Documentatio ... et_cls.txt
Ja jednak mam wątpliwość, czy autor wątku wie do czego chce wykorzystać moduł cgorups w iptables, dlatego, że ten sam efekt można uzyskać za pomocą innych już istniejących modułów, co pewnie jest powodem niedodania tego modułu przez deweloperów do iptables. Wcale się nie dziwie, ponieważ jego użycie bez skonfigurowanego mechanizmu cgroups może doprowadzić do jakiś problemów.
: 27 maja 2015, 10:34
autor: Czeladnikx
@dedito
Ten watek to 2 zagadnienia, gdzie bylbym wdzieczny za rzeczywista pomoc (bez komentarzy):
a - patchowanie Kernela za pomoca latek z Git,a (zalaczone powyzej linki)
b - zastosowanie podsystemu net_cls do przydzielenia klasyfikatora "classid" wszystkim pakietom, ktore moga
byc nastepnie dopasowywane przez cel cgroup na podstawie wartosci net_cls.classid.
Powyzsza procedura jest podstawa selektywnego filtrowania egress.
Rozumiem mechanizm ale gdzies robie blad i nie udaje mi sie selektywnie otagowac wszystkich pakietow w celu egress filtering na odpowiedniej regole iptables. Podsystem net_cls jest rzeczywiscie nowoscia od ok roku i literatury w jezyku polskim wlasciwie nie ma a i w angielskim nie za wiele. Czytalem:
https://access.redhat.com/documentation/en-US/Red_H … ide/ch01.html
http://www.linuxtopia.org/online_books/rhel6/rhel_6 … l_Groups.html
http://serverfault.com/questions/676468 ... pe-ingress
Daniela Borkmann,a
inne.
Dla przykladu:
Mam potrzebne 2 aplikacje przyporzadkowane/skonteneryzowane do kolejnych cgroups za pomoca znacznikow net_cls.classid nastepnie umozliwiamy okreslonej "cgroup" dostep do Internetu poprzez "wylom" w FW, np
Kod: Zaznacz cały
iptables -S | grep "cgroup 1" -A OUTPUT -m cgroup --cgroup 1 -j ACCEPT
W ten sposob na zewnatrz wyjdzie tylko to co zezwole.
Jezeli ktos bylby uprzejmy przeprowadzic procedure przyznawania znacznikow (Classifier) 2 aplikacjom dla zaproponowanych np 2 cgoups ?!
Staralem sie zrobic to sam, ale gdzies robie blad, moze moj angielski nie wylapuje niuansow?