NIX-ПРЕДОХРАНИЛОВО

вся правда об ipchains

Спецвыпуск Xakep, номер #024, стр. 024-022-5


Очень аккуратным нужно быть и с ICMP-пакетами. ICMP-протокол используется для распознавания ошибок в других протоколах, и если ты будешь грохать, не задумываясь, его пакетики, то цикл, запрашивающий соединение с сервантом, который будет орать что-нибудь вроде «Ой, вы знаете, а я ведь сегодня анричибл», никогда не получит этой мессаги, а следовательно, будет мотаться и мотаться... Тот же ICMP используется для определения MTU (максимального размера пакета), и если ты фрагментируешь свои пакеты, а ICMP-пакеты не пролетают, то сервант на другом конце провода не получит сообщения о фрагментации пакетов. Соответственно - нужная тебе mp3-шка так и не придет, сколько бы ты ни молился Биллу.

Во время процесса конфигурации тебя могут подстерегать и другие опасности - злобный хацкер может проникнуть в конфигурируемую тобой систему, поэтому имеет смысл перед началом конфигурации запретить весь траффик, например, так - «ipchains -I input 1 -j DENY» (это надо повторить для всех встроенных цепочек). После завершения процесса конфигурации убери эти правила - «ipchains -D input 1». Кроме того, для проверки правил ты можешь послать фиктивный пакет командой с параметром «-C». Пример - «ipchains -C input -p TCP -s 0.0.0.0/0 -d 192.168.10.78/80», по этой команде сгенерируется для входной цепочки TCP пакет с произвольным адресом отправителя и с адресом получателя 192.168.10.78 для порта 80. Если он пройдет все проверки и уйдет адресату, то ipchains ответит - "Packet accepted", а в противном случае - "Packet rejected".

ОБЩАЯ БЕЗОПАСНОСТЬ

На любых уровнях человеческой жизнедеятельности, начиная с банального пикапа симпатичных подруг и кончая нашими файрволлами, - есть два основных принципа, называй их как хочешь, но от этого их суть не изменится:

- что не запрещено, то - разрешено;

- и наоборот, что не разрешено, то запрещено.

Хорошие системы безопасности строятся по второму принципу, кривые - по первому. Мотай на ус.

КОНЧАЛО

Я надеюсь, твой мозг не воспалился от потока вылитой инфы, а если ты хочешь добавки, лезь сюда - http://www.opennet.ru/docs/135.shtml. Сомневаюсь, что представленной здесь инфы будет мало, ну а если так, то да поможет тебе man и ipchains-HOWTO. И помни, что паранойя это не порок, а образ жизни.

Назад на стр. 024-022-4  Содержание