The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Защита домашнего ПК под Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Безопасность системы / Linux)
Изначальное сообщение [ Отслеживать ]

"Защита домашнего ПК под Linux"  +/
Сообщение от reiji (ok) on 05-Фев-10, 04:26 
Очень радует, что Linux такая вот защищенная система от вирусов. Но сетевые атаки никто не отменял.
Знатоки, подскажите пожалуйста, что нужно подкрутить в штатном фаерволле (или где-то еще?), что бы максимально обезопасить домашний ноутбук? Спасибо.
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Защита домашнего ПК под Linux"  +/
Сообщение от Andrey Mitrofanov on 05-Фев-10, 09:35 
>Очень радует, что Linux такая вот защищенная система от вирусов. Но сетевые
>атаки никто не отменял.
>Знатоки, подскажите пожалуйста, что нужно подкрутить в штатном фаерволле (или где-то еще?),
>что бы максимально обезопасить домашний ноутбук? Спасибо.

Не принимать соединения "снаружи". Совсем... Например, так:

$ cat ./client-all.conf
#
# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#

version 5

# Accept all client traffic on any interface
interface any world
        client all accept
$ firehol ./client-all.conf debug |./explain-sorter
-N out_world_ftp_c3
-A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
-A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport ftp-data -m state --state ESTABLISHED -j ACCEPT
-A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
-N in_world_ftp_c3
-A in_world_ftp_c3 -p tcp --sport ftp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
-A in_world_ftp_c3 -p tcp --sport ftp-data --dport 32768:61000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A in_world_ftp_c3 -p tcp --sport 1024:65535 --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
-N out_world_irc_c2
-A out_world_irc_c2 -p tcp --sport 32768:61000 --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_world_irc_c2
-A in_world_irc_c2 -p tcp --sport 6667 --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
-N out_world_all_c1
-A out_world_all_c1 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_world_all_c1
-A in_world_all_c1 -m state --state ESTABLISHED -j ACCEPT
-N out_world
-A out_world -j out_world_all_c1
-A out_world -j out_world_irc_c2
-A out_world -j out_world_ftp_c3
-A out_world -m state --state RELATED -j ACCEPT
-A out_world -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''OUT-world':'
-A out_world -j DROP
-N in_world
-A in_world -j in_world_all_c1
-A in_world -j in_world_irc_c2
-A in_world -j in_world_ftp_c3
-A in_world -m state --state RELATED -j ACCEPT
-A in_world -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''IN-world':'
-A in_world -j DROP
-A FORWARD -m state --state RELATED -j ACCEPT
-A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='PASS-unknown:'
-A FORWARD -j DROP
-A OUTPUT -j out_world
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='OUT-unknown:'
-A OUTPUT -j DROP
-A INPUT -j in_world
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='IN-unknown:'
-A INPUT -j DROP
$ _

Желательно вообще не ходить в инет -- но это по вкусу. %)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Защита домашнего ПК под Linux"  +/
Сообщение от reiji (ok) on 07-Фев-10, 23:45 

>Не принимать соединения "снаружи". Совсем... Например, так:

Спасибо, а это сильно влияет на серфинг и торренты?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Защита домашнего ПК под Linux"  +/
Сообщение от reader (ok) on 08-Фев-10, 11:08 
>
>>Не принимать соединения "снаружи". Совсем... Например, так:
>
>Спасибо, а это сильно влияет на серфинг и торренты?

на серфинг нет.
на торрент да.

для торрента укажите один порт и для него разрешите входящие. только протоколы учитывайте.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Защита домашнего ПК под Linux"  +/
Сообщение от reiji (ok) on 20-Фев-10, 22:27 
>>
>>>Не принимать соединения "снаружи". Совсем... Например, так:
>>
>>Спасибо, а это сильно влияет на серфинг и торренты?
>
>на серфинг нет.
>на торрент да.
>
>для торрента укажите один порт и для него разрешите входящие. только протоколы
>учитывайте.

Спасибо за ответ. Вернулся из отпуска только-только.
Скажите пожалуйста, я не очень пойму, куда это все написанное вводить...


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Защита домашнего ПК под Linux"  +/
Сообщение от ALex_hha (??) on 22-Фев-10, 00:38 
>Спасибо за ответ. Вернулся из отпуска только-только.
>Скажите пожалуйста, я не очень пойму, куда это все написанное вводить...

лучше забудь :)

http://www.opennet.me/docs/RUS/iptables/

увлекательное чтиво после отпуска :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру