Administrace komentářů

pokud jste na desktopu:

1.prvni faze - default policy na DROP - posledni pravidlo kazdeho defaultniho chainu LOG s prefixem daneho chainu - v INPUT povolit pouze spojeni ESTABLISHED a RELATED - v OUTPUT (a pro odpovedi take analogicky v INPUT) povolit pouze: pokud musite pouivat proxy: - tak pouze ip a port proxy pokud mate primy pristup (at uz je jakykoliv): - tak pouze porty, ktere preferujete (zpravidla http, https, pop3 apod.) - analogicky lze upravit chainy PREROUTE a POSTROUTE pro S(D)NAT

2.pozorovanim /var/log/messages (proste vaseho logu) zjistite, ze jsem na neco zapomel, tak to dopisete do vyjimek.

3. -pokud chcete omezit pouze nejake uzivatele OUTPUT paketu (hodi se to, i kdyz se to mnohal lidem nebude libit) tak muzete vystupni pakety filtrovat jeste na "-m owner --uid-owner 500" (500 je vase uid)

-pokud chcete omezit komunikaci poze s jednim HOSTem (treba kdyz mate jen jednu proxy a ta nemeni svou interface) muzete pouzit filtr "-m mac --mac-source 12:34:56:78::90". pozn.: tento filt muzete aplikovat vicekrat, a tim povolit i jine hosty. neni to sice moc silna ochrana, ale kdekterou lamu to odfiltruje.

4. - pokud vam bude nekdo rikat kecy, ze ping musi fungovat kvuli nejakemu rfc, pak vezte, ze rfc a jine normy jsou sice supr, ale vase bezpecnnost je jeste vetsi supr.

- pokud neprovozujete server, nebo nejste aktivni soucasti nejake site, tak nechapu, proc byste do site meli cokoliv posilat. prosim o komentar od lidi majici jiny nazor.

5. zkuste si odnekud z venku oskenovat porty treba pres nmap apod. melo by tam byt neco jako, ze vsechny porty jsou closed. nejlepe vsak ze "host seems to be down"

6 asi jsem naprudil vsechny spravce (aka smiraky) site, ale to jsem urcite nechtel. pokud bych psal navod jak udelat fw pro maly seveer, jiste bych respektoval vsechny rfc a jine normy.