Безопасно ли?..

Аватар пользователя o3one

Безопасно ли

iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth0 -j SNAT --to-source 222.1.1.1

где 192.168.0.2 - IP локальной машины WinXP, подключённой к данной машине
eth0 - интерфейс, на котором висит интернет
222.1.1.1 - внешний IP данной машины

Или лучше пользовать MASQUERADE?

Аватар пользователя o3one

Re: Безопасно ли?..

Даже скорее не только в этом вопрос. Суть такова, что на машине с ASPLinux 11.2 подняты httpd, MySQL, smb и FTP. К самой машине подрублена машина на WinXP. Вот нужно, чтоб это всё работало, из WinXP был открыт весь инет и чтоб всё было защищено от атак (инет через локалку, а там "кулхацкеров" - слишком много).

Пока что сделано только iptables:

#iptables -I FORWARD -j ACCEPT
#iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth0 -j SNAT --to-source 222.1.1.1 (это инет для WinXP - DNS там прописан тот же, что и на этой машине)
#iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth1 -j SNAT --to-source 10.0.2.134 (это ещё одна локалка)

В целях безопасности пока что поднимал всё перечисленное выше только для тестов. Вот стОит ли пользоваться MASQUERADE и по умолчанию весь форвардинг перекрывать? WinXP, в принципе, сама о себе позаботится. Основная цель - чтобы ASPLinux был спокоен...

Аватар пользователя Meloman

Re: Безопасно ли?..

Могу посоветовать еще одну статью - ссылка, хочу добавить, что несмотря на то, что речь идет о другом дистрибутиве, разобраться в нем можно. Скажем, способы запуска iptables, где хранятся правила, Вы уже знаете. Соответственно, есть разница про то, как программы устанавливать, про пути... Если не разберетесь- спрашивайте, постараемся ответить.
П.С.
Опять же- возможно и не тот ответ я дал. Поэтому статью прочитайте внимательно.

Аватар пользователя o3one

Re: Безопасно ли?..

Теперь интересует конкретный вопрос: по умолчанию в iptables всё разрешено? (я имею ввиду случай, когда не прописаны иные правила) То есть для уверенности в безопасности нужно сперва всё запретить, и уже потом выставлять конкретные разрешения?

PS Просто хочется понять что к чему тут со стороны безопасности. К примеру, только что установленная и обновлённая винда (к примеру XP SP2 или 2003) по умолчанию уже имеет достаточно неплохие для своего класса настройки безопасности и можно быть уверенным, что большинство сетевой "ерунды" не пролезет. А как с этим дело в никсах? Пока что мне кажется, что свежая система фактически открыта для всей сети. Очень не хочется, запустив, к примеру, самбу, ждать какой-нибудь гадости...

PPS Вчера уже увидел по логам того же Апача, сколько IP сразу же после его запуска начали туда лезть. Стало страшно :-o

Аватар пользователя Meloman

Безопасно ли?..

o3one писал(а):
Теперь интересует конкретный вопрос: по умолчанию в iptables всё разрешено?

По-правильному,- все запрещено.
Вчера Вы писали

Цитата:
ASP тихо начинает думать и в итоге ни к чему не приходит. Что интересно - в винде показывает в эти моменты, что к шаре подключён 1 пользователь.

Значит, видимо, по дефолту что-то запрещено. Но я обычно всегда делаю так: Сперва все запрещаю, потом разрешаю порты, интерфесы.

RSS-материал