iptables::rdp-client (покритикуйте правила)

Voral · Сообщение **Voral** » 04.02.2010 17:15

Разбираюсь с настройками фаервола. Периодически есть необходимость подключаться к виндовому rdp серверу. Создал следующие правила:

Код: Выделить всё

    $IPT -A OUTPUT -p tcp -m tcp -d <XXX.XXX.XXX.XXX --dport SSSSS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -s XXX.XXX.XXX.XXX --sport SSSSS -j ACCEPT

Есть ли недочеты?

pelmen · Сообщение **pelmen** » 04.02.2010 19:49

Есть недочеты. Вот они

<

А зачем вообще все это?

Voral · Сообщение **Voral** » 04.02.2010 21:13

pelmen писал(а): ↑
04.02.2010 19:49
Есть недочеты. Вот они
<

Это я сюда так вставил. Естественно вместо иксов реальное айпи и порт

pelmen писал(а): ↑
04.02.2010 19:49
А зачем вообще все это?

Хм.... Политика по умолчанию дроп.... А коннектится надо. Есть варианты?

pelmen · Сообщение **pelmen** » 04.02.2010 22:10

Есть established,related всеми давно уже используется

Voral · Сообщение **Voral** » 05.02.2010 08:31

pelmen писал(а): ↑
04.02.2010 22:10
Есть established,related всеми давно уже используется

упс... спасибо. не подумал.

newsrc · Сообщение **newsrc** » 06.02.2010 10:24

Voral писал(а): ↑
04.02.2010 17:15
Разбираюсь с настройками фаервола. Периодически есть необходимость подключаться к виндовому rdp серверу. Создал следующие правила:
Код: Выделить всё
$IPT -A OUTPUT -p tcp -m tcp -d <XXX.XXX.XXX.XXX --dport SSSSS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -s XXX.XXX.XXX.XXX --sport SSSSS -j ACCEPT
Есть ли недочеты?

И сразу куча вопросов:
Эти правила на шлюзе под Linux'ом? А виндовозный сервер в локальной сети? Вы подключаетесь снаружи к серверу через Linux или на Linux'e клиент?

Voral · Сообщение **Voral** » 07.02.2010 09:17

newsrc писал(а): ↑
06.02.2010 10:24
И сразу куча вопросов:
Эти правила на шлюзе под Linux'ом? А виндовозный сервер в локальной сети? Вы подключаетесь снаружи к серверу через Linux или на Linux'e клиент?

Эти правила на моем компе (хотя через него подключаются и другие компы, т.е. я могу подключаться туда же с ноутбука через мой основной комп, хотя, как я понимаю, там работают правила с форвардом и маскарадингом.). Виндозный сервер в интернете.

newsrc · Сообщение **newsrc** » 07.02.2010 10:39

Voral писал(а): ↑
04.02.2010 17:15
Код: Выделить всё
$IPT -A OUTPUT -p tcp -m tcp -d <XXX.XXX.XXX.XXX --dport SSSSS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -s XXX.XXX.XXX.XXX --sport SSSSS -j ACCEPT

Ну раз вы подключаетесь со своего компа (клиент) к серверу RDP, то имеем следующие правила:

Код: Выделить всё

$IPT -A OUTPUT -p tcp --dport 3899 -d $server -j ACCEPT
$IPT -A INPUT  -p tcp --sport 3899 -s $server -j ACCEPT -m state --state ESTABLISHED,RELATED

pelmen · Сообщение **pelmen** » 07.02.2010 11:10

блин, аутпут делаем по дефолту ацепт, а инпут дроп, потом в инпут суём естаблишт, релейтед и радуемся жизни.

Voral · Сообщение **Voral** » 07.02.2010 11:24

pelmen писал(а): ↑
07.02.2010 11:10
блин, аутпут делаем по дефолту ацепт, а инпут дроп, потом в инпут суём естаблишт, релейтед и радуемся жизни.

я думал об этом.
Ни и логика такая " а вдруг по неопытности какую фигню типа трояна подцеплю которая будет ломиться от меня" потому и дроп ну и вообще "мало ли что". Или это параноя?

pelmen · Сообщение **pelmen** » 07.02.2010 13:00

это паранойя.

newsrc · Сообщение **newsrc** » 08.02.2010 10:42

pelmen писал(а): ↑
07.02.2010 11:10
блин, аутпут делаем по дефолту ацепт, а инпут дроп, потом в инпут суём естаблишт, релейтед и радуемся жизни.

Хотя мой вариант не предел, но я за "параноидальные" правила!

unixforum.org

iptables::rdp-client (покритикуйте правила)

iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client

Re: iptables::rdp-client