iptables blokovanie portu pre NIC

Kde je ten port 3260, na tom stroji, kde nastavuješ? Nebo na cíli? A fakt je to tcp? Nebyl by lepší blokovaný OUTPUT?

Pokud blokuju odchozí provoz na port 3260, tohle

iptables -A OUTPUT -p tcp -m tcp --dport 3260 -j DROP

dělá to, co chcete ... potvrdí i "watch -d iptables -nvL" ... uvidíte počítat pakety u daného pravidla.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

19.12.2009 02:32 adfd
Rozbalit Rozbalit vše Re: iptables blokovanie portu pre NIC

niekto pochopil zjavne moj problem...chcem to bloknut len pre jeden iface.

19.12.2009 14:07 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: iptables blokovanie portu pre NIC

Ok, tak tam dopište -i ethX a sledujte, zda Vám to matchuje.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

V prve rade bys mel pochopit, jak ma byt firewall postaveny. Tedy to, ze vychozi politika ma byt DROP (nebo REJECT) a teprve to, co opravdu chces, povolit.

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

18.11.2009 17:48 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables blokovanie portu pre NIC

To záleží na tom, jakou strategii zvolíte. Mít výchozí politiku nastavenou na ACCEPT a zakazovat teprve to, co opravdu taky nechci, nebo dokonce nepoužívat firewall vůbec, je legitimní řešení - pro lidi, kteří nerozumějí síťování, dokonce lepší, než zápasení s firewallem, kde si dotyčný zablokuje to, co by chtěl mít povolené, a pod dojmem "mám firewall, nic se mi nemůže stát" se bude chovat nezodpovědně.

18.11.2009 19:19 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: iptables blokovanie portu pre NIC

Samozrejme mate z vaseho pohledu pravdu. Ovsem v linuxovem svete je obecne uznavana strategie "vse zakazat, pozadovane povolit" (a logicky mi prijde podstatne rozumejsi), kdezto strategii "vse povolit, nechtene zakazat" povazuji za zcestnou.

nebo dokonce nepoužívat firewall vůbec, je legitimní řešení - pro lidi, kteří nerozumějí síťování, dokonce lepší, než zápasení s firewallem

To povazuji za nasledek tvrzeni Microsoftu, ze "kazdy muze byt adminem". Kdyz necemu nerozumim, tak se v tom nehrabu a necham to nekomu, kdo tomu rozumi. Motor v aute si taky nebudu opravovat sam (pokud nejsem automechanik)

a pod dojmem "mám firewall, nic se mi nemůže stát" se bude chovat nezodpovědně

To je to same, jako kdyby si ridic rekl "mam airbag, muzu jezdit jako hovado, mi se nic nestane". Bohuzel na cestach (i na internetu) to podle toho vypada :-(

No ale to jsme ponekud odbocili od tematu :-)

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

18.11.2009 21:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables blokovanie portu pre NIC

Samozrejme mate z vaseho pohledu pravdu. Ovsem v linuxovem svete je obecne uznavana strategie "vse zakazat, pozadovane povolit" (a logicky mi prijde podstatne rozumejsi), kdezto strategii "vse povolit, nechtene zakazat" povazuji za zcestnou.

Ovšem tahle strategie znamená hlavně spouštět jenom služby, které je potřeba mít spuštěné, což na běžném desktopu bude znamenat žádné služby poskytované do sítě. Takže pak není nic, co by firewall přímo na počítači mohl chránit.

Dotaz: iptables blokovanie portu pre NIC

Odpovědi