Я вот и вернусь я к теме разговора
Вопрос как помнится был такой:Опасно ли дома сидеть в интернете без настроенного IPTABLES?
По-моему это зависит от нескольких вещей:
- есть ли дома локальная сеть
- какое подключение к интернет используется
- что постоянно запущено на машине
ИТак если дома есть локальная сеть, которая в свою очередь имеет выход в инет, ну или другую локальную сеть, а от рабочей станции тредуется то, чтобы она помимо всего прочего была еще и шлюзом в инет, хотя это уже тогда не совсем рабочая станция, то без iptables тут никуда. Зато на шлюзе все настроили а на остальных компах дома можно забыть про iptables:)
Если же никакой сети нет, машина дома одна, ну или в инет выход с одной всего, то стоит взглянуть на подключение в инет. Если вы в нет лазите по dial-up или например по dls, и ваш ip снаружи это не только ваш ip то по большому счету можно и забить - ну вы же в конце концов не IE используете как браузер да и вирусов под linux не много (9 если не ошибаюсь). Но все равно вобщем-то не помешает.
А вот третий пункт и впрямь важен - надо понять что нам надо запускать на этой машине.
Если вы ее используете только для того, чтобы по лазить по сайтам разным, пообщаться в аське, irc и тп, посмотреть почту и это все, что вам нужно (имеются ввиду вещи относящиеся к сети, т.е. естественно если вы программируете на C или на асме
да или чем-либо еще или занимаетесь графикой, да и чем угодно, что не требует выхода в сеть, то это нашей темы не касается - занимайтесь сколько влезет и на надобность iptables вам это не повлияет, то тогда можно просто отключить все службы, слушающие какой-либо порт и все, никаких iptables.Если же вы положим программируете на php и для тестирования скриптов вам нужно иметь web-сервер у себя, но вовсе никчему, чтобы все могли тестировать ваши скрипты вместе с вами
то тут в ход пойдет iptables. Вобщем если вам нужны службы, смотрящие наружу(слушающие определенный порт), то тогда надо браться за iptables.ТЕперь надо взглянуть какие же порты у вас открыты наружу на данный момент, сделать это можно по разному, я лично смотрю при помощи nmap:
nmap 127.0.0.1
что у вас чего слушает. Не удивляйтесь если обнаружите некотрые непонятные службы - поищите в нете что это такое, некоторые сервисы, слушающие порты и запускаются при загрузке системы, если они не нужны, то лучше их отрубить.
Положим что при выполнении nmap 127.0.0.1 вы увидели следующее:
Код: Выделить всё
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2005-12-11 03:49 SAMT
Interesting ports on localhost (127.0.0.1):
(The 1657 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
111/tcp open rpcbind
6000/tcp open X11
Nmap run completed -- 1 IP address (1 host up) scanned in 0.361 secondsтогда вам надо вырубить вобщем-то эти сервисы и все, если никто не слушет порты, то можно и не парится с iptables - как это сделал я например.
Сразу скажу, что встречаются люди, которые почему-то вместо того, чтобы повырубать сервисы, слушающие порты, которые им не нужны, начинают закрывать эти порты с помощью iptables - это ИМХО не правильно, тк получается что висят две проги ненужные ни для чего, кроме как друг для друга
одна порт открыват, другая закрывет, убейте обе и будьте счастливы
Если в чем-то ошибся с радостью приму критику к сведению - я же не спец пока
