На FreeBSD(маршрутизатор) я делал так:
чтобы разрешить все исходящие сообщения я использовал правила check-state и keep-state. Наверное представляете что это.
Это позволяло мне не задумываться о том какого типа траффик от меня исходит и не "мудохаться" с прописыванием правил для каждого протокола (TCP,UDP,ICMP).
Более правильный аналог это конечно отслеживание состояние соединений. Скажем запрет инициации внешних соединений путем отбрасывания входящих пакетов с установленным флагом SYN. Но это относится к TCP.
Как быть со всеми остальными протоколами. Существуют ли аналоги динамических правил в iptables, Если нет, то какими способами можно разрешить от себя абсолютно весь траффик.
У меня есть конечно свои соображения, но что думаете вы?
Спасибо!
P.S. Плавно перехожу на линуксА.
Все от меня!
-
TechNoir
- Маньяк
- Сообщения: 179
- Зарегистрирован: 27 май 2002, 16:04
- Откуда: Moscou
- Контактная информация:
Все от меня!
Учись или уходи!
читаем iptables tutorial а разделе -m state
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -P OUTPUT DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m owner --uid-owner 0 -j ACCEPT
вот тебе пример... что тут к чему - думаю сам разберешься с помощью упомянутой доки...
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -P OUTPUT DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m owner --uid-owner 0 -j ACCEPT
вот тебе пример... что тут к чему - думаю сам разберешься с помощью упомянутой доки...
Опыт растет прямо пропорционально выведенному из строя оборудованию
