Если настроить брандмауэр на отклонение (REJECT) пакетов, поступающих на порт 113 (вместо DROP), то удаленный компьютер получит уведомление о невозможности подключения к порту. Удаленный клиент получает сведения о невозможности соединения, поэтому он не будет ожидать установки соединения. Это ускоряет обмен данными по Internet, причем проис]ходит это намного «вежливее».
В программе iptables использование правила DROP не всегда лучший метод. Для неко]торых служб лучше отклонять пакеты (REJECT), чем их отбрасывать без уведомления отправи]теля (DROP). В качестве примера такой службы можно назвать IDENT, так называемую службу аутентификации. Некоторые службы, например sendmail, используют аутентификацию по IDENT при получении запросов на соединение. При этом удаленным клиентом осуществляет]ся подключение к ТСР-порту 113 (локальному серверу) и запрашивается информация о том, кто отправил первоначальный запрос. Если ТСР-порт 113 заблокирован с помощью правила DROP, брандмауэр не возвратит удаленному компьютеру никакого сообщения. Работа клиента на удаленном компьютере будет приостановлена до истечения таймаута (как правило, 60 70 сек.), а это неоправданно замедляет работу обоих компьютеров.
Использование REJECT, вместо DROP
/sbin/iptablesP -A inputP -i eth0P -sP 0/0P -dP 192.168.1.102 P \ -p tcp — - dportP 515P -j P DROP
# блокироватьP соединения отP всех остальных компьютеров
/sbin/iptablesP -A INPUT -i eth0 -sP 10.0.0.0/8PP -dP 192.168.1.102PP \ -pP tcpP — - dport P515PP -jPP ACCEPT
# (пусть адрес локальной сети 10.0.0.)
# разрешить lpd-соединения для хостов локальной сети
Настроим iptables на отбрасывание всех входящих пакетов для службы lpd, поступаю]щих от удаленных хостов (не из локальной сети).
/sbin/iptablesP -A INPUT -i eth0P -sP 0/0PP -dP 192.168.1.102PP -p tcp \ — - dportPP smtp -jPP DROP
/sbin/iptablesP -A INPUT -i eth0 -s P0/0PP -dP 192.168.1.102P -p tcp \ — - dportP ftp -jPP DROP
/sbin/iptablesP -A INPUTP -iP eth0P -s P 0/0 P -dP 192.168.1.102P -p tcpP \ — - dportP telnet P -j P DROP
Установить запрет на получение пакетов из Internet можно с помощью создания соответст]вующих правил брандмауэра. Предположим, что наш компьютер подключен к Internet посредством Ethernet-интерфейса eth0. Для блокирования пакетов к портам служб Telnet, FTP (рассматривался пример в ) и SMTP могут быть использованы следующие правила программы netfilter.
Блокировка отдельных портов с помощью iptables
Существуют и другие службы, использование которых должно разрешаться хостам локаль]ной сети и запрещаться для всех остальных хостов. Например, служба печати по сети (lpd). Ра]нее эта служба была использована в нескольких типах атак с получением хакером прав root. Если хакер получает доступ к порту lpd (порт 515), то вероятно, сможет получить и привиле]гии root. Кроме того, провести своеобразную атаку отказа в обслуживании отправив на печать множество заданий, в результате чего будет израсходован запас бумаги в принтере.
Допустим, наш компьютер подключен к локальной сети и к Internet. Мы хотим разрешить другим компьютерам локальной сети устанавливать telnet-соединения. Но поддержка этой службы для локальной сети означает, что необходимо использовать TCP Wrappers для защиты от попыток хакера установить telnet-соединение по Internet. При использовании защиты с помощью TCP Wrappers хакер будет знать, что порт открыт, а доступ ему просто заблокирован. Поэтому он может попытаться найти компьютер, которому предоставлено право подключения по telnet. Если же порт заблокирован на уровне ядра, то хакер вообще не узнает о предостав]лении кому-либо возможности установки соединений.
→ Блокировка отдельных служб с помощью iptables
Блокировка отдельных служб с помощью iptables | SecurOS :: безопасность, хакерство, секреты взлома
Комментариев нет:
Отправить комментарий