welinux.ru/На заказ — Нужен ли iptables рядовому пользователю?

anjolio 05.12.09 20:09 # +1–

Ну, как правило, в тех программах, где можно использовать динамически выбираемые порты, можно эту фичу отключить, потому что нужна она больше для корпоративных сетей, где админы лочат определённые порты.
А для дома эта плюшка как правило не особенно то и важна.

: Minoru 05.12.09 21:22 # ↑ +0–

Насколько я знаю, dcc (DCC — это Direct Client-to-Client, протокол передачи файлов, используемый в IRC; к DCN и DC++ не имеет никакого отношения) при передаче просто выбирает случайны порт и юзает его. Никаких методов отключения такого поведения я не знаю.

Про BitTorrent я упомянул зря — уже давно юзаю фиксированный порт.

lockie 05.12.09 20:33 # +4–

> имеет ли смысл домашнему пользователю
Имеет смысл поставить input policy = drop на всякий случай (а то всякие хрен-поймёшь-портмэпперы вечно за каким-то фигом слушают какие-то порты). Руководство, безусловно, это. Длинное и нудное, но полезное. Не поленитесь, полистайте.

> подымать у себя фаерволл
Вобщем-та, у iptables природа такова, что его не поднимают, он в ядре включается, т.е. в свежепоставленном дистрибутиве есть, хотите вы того или нет.

> Смущает в этом подходе то, что я не представляю, какие порты мне следует открывать.
Смотря какой сервис хотите открыть на внешку. Нужен bittorrent - лезем в википедию и из неё узнаём, что диапазон портов для этого протокола - 6881—6889. Их и открываем. И да, если лень лезть в википедию, можно грепать /etc/services :)

Minoru 05.12.09 21:13 # ↑ +0–

> подымать у себя фаерволл
Вобщем-та, у iptables природа такова, что его не поднимают, он в ядре включается, т.е. в свежепоставленном дистрибутиве есть, хотите вы того или нет.

Да, я немного неправильно выразился — имелось в виду изменение дефолтных политик и создание правил.

А имеет ли смысл писать правила для OUTPUT? С моей точки зрения, я не представляю опасности для окружающих :)

: lockie 06.12.09 22:24 # ↑ +0–

Я, например, никогда не писал :)

malic 05.12.09 21:01 # +7–

Как я стал параноиком.
Стоял у меня Redhat (версию не помню) ... Была у меня установлена програмка fortune. Эта консольная радость выводит случайным образом куски, специальным образом подготовленного, текста при кажном запуске. И было это чудо прописано у меня в ~/.bashrc. Нашел я на просторах нета html с тучей анекдотов, переформатировал его в текстовик. который понимает fortune и вреня от времени читал таким образом анекдоты. И лежал этот текстовик годы, менялись оси ... Redhat, Suse, Gentoo ... И все эти годы я читал анекдоты... И черт дернул меня заглянуть в этот текстовик ...
На первой строке я обнаружил: hacked by pricol.
А басня такова ... вам с этим потом жить:)

: Minoru 05.12.09 21:17 # ↑ +0–

Хм…
Пожалуй, построю-таки фаервольчик...

mrded 05.12.09 22:04 # +0–

на сколько мне известно, в коробочной ubuntu торрент клиент transmission не будет раздавать ничего пока это не разрешить в фаерволе.
сам не проверял, просто забил, главное чтобы качать мог:)

: Minoru 05.12.09 22:12 # ↑ +1–

Неделю назад соседи ставили 9.10 — transmission там качал и раздавал без вопросов.
Да и вообще, я так понимаю что отсутствие правил и ACCEPT по умолчанию — это стандартная политика относительно iptables.

avpme 05.12.09 23:07 # +1–

1. как бы там ни было, но фаервол нужен на любой системе (будь то хоть вин, хоть лин, фри...) для "рядового" пользования обязательно!!! input полиси... иначе я даже и не представляю, как можно выставлять в сеть машинку. Для тех же торентов (я пользую трансмишен) можно\стоит фиксировать один порт и открывать его в фаерволе.
2. дроп - да, по-умолчанию.
3. потенциальную "опасность" несёт любой хост ;-) а аутпут правила - это на усмотрение пользователя, но обычно на "рядовых" системах не используется :-)

Minoru 06.12.09 00:00 # ↑ +0–

как бы там ни было, но фаервол нужен на любой системе

Проблема в том, что если я не представляю, как фаерволл конфигурировать — то толку от его присутствия не будет.

avpme 06.12.09 00:54 # ↑ +0–

тогда для вас наилучшим решением будет установка, например, Firestarter - там в гиу вы легко сможете настроить для себя фаервол

Minoru 06.12.09 03:03 # ↑ +2–

Беглый взгляд на зависимости Firestarter'а отбил всякое желание им пользоваться.

в гиу вы легко сможете настроить для себя фаервол

У меня первостепенная цель — не настроить, а разобраться. Для этого нужно хорошее руководство. Для разогрева лучше всего годятся небольшие статьи, охватывающие всего лишь пару моментов, часто грешащие ошибками и неточностями в погоне за простотой. Потом, когда новичок уже заинтересован и сделал первые шаги, годятся статейки типа «более сложные примеры работы с programname». После прочтения сего труда человек начинает сам немного ориентироваться в предмете, ищет более целенаправленно, и постепенно приходит к всё тому же официальному мануалу, который ему советовали в начале. Только тогда он воспринимался как огромная книжка, содержащая кучу инфы, но не показывающая основы, а теперь это полезный справочник, раскрывающий аспекты работы уже знакомых механизмов.

Кроме того, читая вводную и advanced статью, человек выполняет некие практические действия, т.е. по ходу дела овладевает описываемой программой. В нашем случае это может быть выставление политик по умолчанию в DROP и написание неких базовых правил. В результате пользователь получает работающий фаерволл и знания, необходимые для его дальнейшего совершенствования.

…Н-да, заговорился :) О чём там я? Ах да — мне не нужен гуй со всем известной кнопкой (для тех кто не в курсе — это button «сделать мне пиздато»), мне нужна статейка о базовых концепциях с примерами, которые помогут «разогреться» и дадут начальные знания. Естественно, в одну статью это вряд ли уместится, поэтому придётся писать несколько. Но никто не осилит, наверное…

P.S. Если такой труд уже проделан — буду рад линку.

: malic 06.12.09 07:07 # ↑ +2–

http://www.opennet.ru:8101/docs/RUS/iptables/

: Uni 06.12.09 10:40 # ↑ +2–

http://easylinux.ru/node/190

avpme 06.12.09 13:18 # ↑ +1–

Вы очень много написали, не связанного с темой. В теме же чётко сказанного "рядовой пользователь"... кроме того, в gui - тоже не всё просто, ибо для построения фаервола всё-равно нужно понимание, что мы делаем.

И так, начнём:
1) Как правильно задавать вопросы (ru) - это руководство по составлению вопросов и топиков - очень полезно для формирования своих личных мыслей;
2) ближе к уточненной теме: WiKi: Firewall (en, но есть на русском) - для понимания, что такое фаервол и его возможностей (одна страничка даст гайд-лайнс для углубление в изучение темы);
3) ребята вон уже кинули несколько линков;
4) добавлю от себя: Quick HOWTO : Ch14 : Linux Firewalls Using iptables;
5) кроме того, у каждого *nix-комьюнити есть персональные маны и квик-хауто, которые заточены под конкретный дистр\платформу;
6) и в заключении, так же обязательно держать под рукой официальный man\howto, что бы в любой момент можно было обратиться к ним.

Всё вышесказанное прошу не воспринимать, как стёб... это путь обучения чему угодно... постепенно - от простого к сложному :-)

: Minoru 06.12.09 16:09 # ↑ +0–

Smart Questions HowTo читал и пытаюсь его придерживаться. Именно поэтому мой пост обширнее простого «расскажите мне об iptables». За остальные ссылки спасибо (из них не читал только easylinux). Отдельное спасибо за упоминание вики — я почему-то не догадался погуглить конкретно дебиановский мануал :(

Как стёб не воспринимаю ни в коем случае, не волнуйтесь ;) Просто iptables я пытаюсь осилить уже не впервые, и всё никак :(

zivot_je_cudo 06.12.09 12:58 # +3–

1. Не имеет смысла. Даже самые базовые функции фаерволла начинаются с ограничения доступа к сетевым службам компьютера. Если их нет, то и смысла закрывать какие-то порты нет.
2. Правильно, так надежнее, а порты можно знать по опыту, /etc/services или netstat -nlp.
3. Дома у меня вообще DROP только для FORWARD, ибо начу незнакомых, сильно урезаю им интернет.
Лучший док на опеннете и man iptables, другие понимания не дадут =)

: Minoru 06.12.09 16:11 # ↑ +2–

О, а вот за netstat спасибо (причём больше за опции, чем за команду)! Я до сих пор делал netstat -a и потом мучался с тонной вывода :(

: avr 02.04.10 09:46 # +0–

Неужели кто-то написал мои вопросы, которые так давно хотел прояснить. Спасибо!

—

05.12.09 19:26 Minoru

На заказ — Нужен ли iptables рядовому пользователю?

Хотелось бы услышать от настоящего системного администратора (а лучше — нескольких) ответы на пару моих вопросов об iptables (подробнее под катом)

имеет ли смысл домашнему пользователю подымать у себя фаерволл, если никаких потенциально интересных для взломщика сервисов (в моём понимании это в первую очередь ssh, далее идут http, ftp и прочие) на машине не запущено?
Если стоит, то хотелось бы увидеть how-to по настройке сего хозяйства (или хотя бы линки на хорошие, по мнению автора, статьи)
насколько я понял из прочитанных мною трудов по фаерволлам вообще и iptables в частности, самая лучшая защита — это поставить политику по умолчанию DROP и писать правила, разрешающие прохождение трафика. Смущает в этом подходе то, что я не представляю, какие порты мне следует открывать. Ну, допустим, про 22й я понял (юзаю ssh, так что порт должен быть открыт), а как быть с другими? Интересует также настройка таких вещей, как Bittorrent, DCC и прочие (я так понимаю, там используется динамическое назначение портов под каждую передачу — что если порт окажется закрыт?)
имеет ли смысл писать правила для OUTPUT? С моей точки зрения, я не представляю опасности для окружающих :)

Похожие +3–

jh — « Есть вопрос! / Раздача интернетов по wifi через usb адаптер Asus WL-167g v3» jh — « Есть вопрос! / Раздача интернетов по wifi через usb адаптер Asus WL-167g v3» doraneko — « Есть вопрос! / Беда после Unity» freefd — « Есть вопрос! / Раздача интернетов по wifi через usb адаптер Asus WL-167g v3» exelens — « Есть вопрос! / Aspire 5530 и Linux» exelens — « Есть вопрос! / Aspire 5530 и Linux» pomkalk — « Есть вопрос! / Беда после Unity» pomkalk — « Есть вопрос! / Беда после Unity» ZED — « Есть вопрос! / Aspire 5530 и Linux» exelens — « Есть вопрос! / Беда после Unity» ZED — « Есть вопрос! / Aspire 5530 и Linux» doraneko — « Есть вопрос! / Беда после Unity» pomkalk — « Есть вопрос! / Беда после Unity» Anrock — « Есть вопрос! / Беда после Unity» zhevak — « Есть вопрос! / Ищу функциональный текстовый редактор для среды gtk» exelens — « Есть вопрос! / Беда после Unity»
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 141) Tips & tricks (33) Есть вопрос! (25) Archlinux (25) How-to`s (24) Vim (22) Мой рабочий стол. (18) Linux Games (17) KDE (17) Скрипты (16) Debian (15)
Элита (все 2839 из 215 городов) muhas (256.1) Shtsh (156.5) cppmm (132.4) ZogG (132.25) Aesdana (132.1) h0rr0rr_drag0n (120.5) digiwhite (108.9) Minoru (99.15) LeniH (92.45) xtavras (78.9)

В сети: doraneko, knicefire, jh, InCube, Vzlom, konkere, derfenix, Zend, LeXuS, SDSWanderer, freefd, andreas

Новенькие: HonAddenny, exl2003, Soulfriend, avd891, wixen