Konfiguracja iptables
-
- Posty: 43
- Rejestracja: 06 maja 2015, 12:42
-
- Posty: 12
- Rejestracja: 21 maja 2015, 15:38
Przeciez na poczatku topicu napisalem: 3xDROP !!!NieGooglujMnie pisze:Takie 2 zasady:
1) Można dużo rzeczy potestować na maszynach wirtualnych, dotyczy to np. forwardowania, blokowania/udostępniania portów.
2) Najpierw blokujesz się cały, w 100%. Wszystko zamykasz. A później krok po kroku otwierasz porty/usługi. Robisz taką twierdzę, którą trochę - za każdym krokiem - otwierasz. ALE nie odwrotnie, czyli nie tak: otwarty >> coraz bardziej zamknięty.
Ale właśnie tak: całkowicie zamknięty >> coraz bardziej otwarty.
Ustawiasz tylko te regułki, które rozumiesz i wiesz dlaczego takie są. Lepiej ustawić regułkę prostacką i zrozumiałą, niż wyrafinowaną ale nie do przeanalizowania "po co to jest".
-
- Posty: 12
- Rejestracja: 21 maja 2015, 15:38
To jacy z nich admini???Yampress pisze:Racja. I tak nie będzie w stanie 100% wszystkiego kontrolować.
IDS i jeszcze parę zabawek i starczy.
A tak w ogóle po co potrzebne Ci takie logi co dokładnie się dzieje.. Wiesz 50% administratorów nie wie co się w ich sieci dzieje...
Chce poznac mozliwosci jakie daje iptables, i znakomicie wiem ze to nie wszystko, ale bardzo duzo.
Dlaczego zamiast pomoc to zniechecacie?
-
- Posty: 12
- Rejestracja: 21 maja 2015, 15:38
O czym tu mowisz, destrukcja zamiast konstrukcji.grzesiek pisze:Poświęciłem czas na twoje zachcianki, po czym stwierdziłeś, że takie rozwiązanie Ci się nie podoba. Mógłbym teraz zapytać dlaczego marnujesz mój czas?
Jezeli w ten sposob zamierzasz komunikowac sie z innymi ludzmi, zbywajac ich, badz lekcewazac to po co sie meczyc?
Nie na jądro tylko na iptables. Moim zdaniem to rozwiązanie co przedstawiłem + prawidłowa konfiguracja cgroups powinna wystarczyć: https://www.kernel.org/doc/Documentatio ... et_cls.txt
Ja jednak mam wątpliwość, czy autor wątku wie do czego chce wykorzystać moduł cgorups w iptables, dlatego, że ten sam efekt można uzyskać za pomocą innych już istniejących modułów, co pewnie jest powodem niedodania tego modułu przez deweloperów do iptables. Wcale się nie dziwie, ponieważ jego użycie bez skonfigurowanego mechanizmu cgroups może doprowadzić do jakiś problemów.
Ja jednak mam wątpliwość, czy autor wątku wie do czego chce wykorzystać moduł cgorups w iptables, dlatego, że ten sam efekt można uzyskać za pomocą innych już istniejących modułów, co pewnie jest powodem niedodania tego modułu przez deweloperów do iptables. Wcale się nie dziwie, ponieważ jego użycie bez skonfigurowanego mechanizmu cgroups może doprowadzić do jakiś problemów.
-
- Posty: 12
- Rejestracja: 21 maja 2015, 15:38
@dedito
Ten watek to 2 zagadnienia, gdzie bylbym wdzieczny za rzeczywista pomoc (bez komentarzy):
a - patchowanie Kernela za pomoca latek z Git,a (zalaczone powyzej linki)
b - zastosowanie podsystemu net_cls do przydzielenia klasyfikatora "classid" wszystkim pakietom, ktore moga
byc nastepnie dopasowywane przez cel cgroup na podstawie wartosci net_cls.classid.
Powyzsza procedura jest podstawa selektywnego filtrowania egress.
Rozumiem mechanizm ale gdzies robie blad i nie udaje mi sie selektywnie otagowac wszystkich pakietow w celu egress filtering na odpowiedniej regole iptables. Podsystem net_cls jest rzeczywiscie nowoscia od ok roku i literatury w jezyku polskim wlasciwie nie ma a i w angielskim nie za wiele. Czytalem:
https://access.redhat.com/documentation/en-US/Red_H … ide/ch01.html
http://www.linuxtopia.org/online_books/rhel6/rhel_6 … l_Groups.html
http://serverfault.com/questions/676468 ... pe-ingress
Daniela Borkmann,a
inne.
Dla przykladu:
Mam potrzebne 2 aplikacje przyporzadkowane/skonteneryzowane do kolejnych cgroups za pomoca znacznikow net_cls.classid nastepnie umozliwiamy okreslonej "cgroup" dostep do Internetu poprzez "wylom" w FW, npW ten sposob na zewnatrz wyjdzie tylko to co zezwole.
Jezeli ktos bylby uprzejmy przeprowadzic procedure przyznawania znacznikow (Classifier) 2 aplikacjom dla zaproponowanych np 2 cgoups ?!
Staralem sie zrobic to sam, ale gdzies robie blad, moze moj angielski nie wylapuje niuansow?
Ten watek to 2 zagadnienia, gdzie bylbym wdzieczny za rzeczywista pomoc (bez komentarzy):
a - patchowanie Kernela za pomoca latek z Git,a (zalaczone powyzej linki)
b - zastosowanie podsystemu net_cls do przydzielenia klasyfikatora "classid" wszystkim pakietom, ktore moga
byc nastepnie dopasowywane przez cel cgroup na podstawie wartosci net_cls.classid.
Powyzsza procedura jest podstawa selektywnego filtrowania egress.
Rozumiem mechanizm ale gdzies robie blad i nie udaje mi sie selektywnie otagowac wszystkich pakietow w celu egress filtering na odpowiedniej regole iptables. Podsystem net_cls jest rzeczywiscie nowoscia od ok roku i literatury w jezyku polskim wlasciwie nie ma a i w angielskim nie za wiele. Czytalem:
https://access.redhat.com/documentation/en-US/Red_H … ide/ch01.html
http://www.linuxtopia.org/online_books/rhel6/rhel_6 … l_Groups.html
http://serverfault.com/questions/676468 ... pe-ingress
Daniela Borkmann,a
inne.
Dla przykladu:
Mam potrzebne 2 aplikacje przyporzadkowane/skonteneryzowane do kolejnych cgroups za pomoca znacznikow net_cls.classid nastepnie umozliwiamy okreslonej "cgroup" dostep do Internetu poprzez "wylom" w FW, np
Kod: Zaznacz cały
iptables -S | grep "cgroup 1" -A OUTPUT -m cgroup --cgroup 1 -j ACCEPT
Jezeli ktos bylby uprzejmy przeprowadzic procedure przyznawania znacznikow (Classifier) 2 aplikacjom dla zaproponowanych np 2 cgoups ?!
Staralem sie zrobic to sam, ale gdzies robie blad, moze moj angielski nie wylapuje niuansow?