00000013.htm

一份很好的linux入门资料

<HTML>

<HEAD>
  <TITLE>BBS水木清华站∶精华区</TITLE>
</HEAD>

<BODY>

<CENTER><H1>BBS水木清华站∶精华区</H1></CENTER>

发信人:&nbsp;zixia&nbsp;(Do&nbsp;you&nbsp;zixia&nbsp;tonight),&nbsp;信区:&nbsp;Linux&nbsp;<BR>
标&nbsp;&nbsp;题:&nbsp;11.&nbsp;Advice&nbsp;on&nbsp;Packet&nbsp;Filter&nbsp;Design&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;he&nbsp;<BR>
发信站:&nbsp;BBS&nbsp;水木清华站&nbsp;(Wed&nbsp;Oct&nbsp;11&nbsp;01:19:05&nbsp;2000)&nbsp;WWW-POST&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Next&nbsp;Previous&nbsp;Contents
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;----------------------------------------------------------------------
&nbsp;<BR>

&nbsp;<BR>
11.&nbsp;Advice&nbsp;on&nbsp;Packet&nbsp;Filter&nbsp;Design&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
he
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Common&nbsp;wisdom&nbsp;in&nbsp;the&nbsp;computer&nbsp;security&nbsp;arena&nbsp;is&nbsp;to&nbsp;block&nbsp;everything,&nbsp;then
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;open&nbsp;up&nbsp;holes&nbsp;as&nbsp;neccessary.&nbsp;This&nbsp;is&nbsp;usually&nbsp;phrased&nbsp;`that&nbsp;which&nbsp;is&nbsp;not
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;explicitly&nbsp;allowed&nbsp;is&nbsp;prohibited'.&nbsp;I&nbsp;recommend&nbsp;this&nbsp;approach&nbsp;if&nbsp;security
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;is&nbsp;your&nbsp;maximal&nbsp;concern.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Do&nbsp;not&nbsp;run&nbsp;any&nbsp;services&nbsp;you&nbsp;do&nbsp;not&nbsp;need&nbsp;to,&nbsp;even&nbsp;if&nbsp;you&nbsp;think&nbsp;you&nbsp;have
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;blocked&nbsp;access&nbsp;to&nbsp;them.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;If&nbsp;you&nbsp;are&nbsp;creating&nbsp;a&nbsp;dedicated&nbsp;firewall,&nbsp;start&nbsp;by&nbsp;running&nbsp;nothing,&nbsp;and
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;blocking&nbsp;all&nbsp;packets,&nbsp;then&nbsp;add&nbsp;services&nbsp;and&nbsp;let&nbsp;packets&nbsp;through&nbsp;as
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;required.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;I&nbsp;recommend&nbsp;security&nbsp;in&nbsp;depth:&nbsp;combine&nbsp;tcp-wrappers&nbsp;(for&nbsp;connections&nbsp;to
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;the&nbsp;packet&nbsp;filter&nbsp;itself),&nbsp;proxies&nbsp;(for&nbsp;connections&nbsp;passing&nbsp;through&nbsp;the
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;packet&nbsp;filter),&nbsp;route&nbsp;verification&nbsp;and&nbsp;packet&nbsp;filtering.&nbsp;Route
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;verification&nbsp;is&nbsp;where&nbsp;a&nbsp;packet&nbsp;which&nbsp;comes&nbsp;from&nbsp;an&nbsp;unexpected&nbsp;interface&nbsp;&nbsp;<BR>
is
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;dropped:&nbsp;for&nbsp;example,&nbsp;if&nbsp;your&nbsp;internal&nbsp;network&nbsp;has&nbsp;addresses&nbsp;10.1.1.0/24,
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;and&nbsp;a&nbsp;packet&nbsp;with&nbsp;that&nbsp;source&nbsp;address&nbsp;comes&nbsp;in&nbsp;your&nbsp;external&nbsp;interface,&nbsp;&nbsp;<BR>
it
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;will&nbsp;be&nbsp;dropped.&nbsp;This&nbsp;can&nbsp;be&nbsp;enabled&nbsp;for&nbsp;one&nbsp;interface&nbsp;(ppp0)&nbsp;like&nbsp;so:
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
n
&nbsp;<BR>
&nbsp;#&nbsp;echo&nbsp;1&nbsp;&gt;&nbsp;/proc/sys/net/ipv4/conf/ppp0/rp_filter
&nbsp;<BR>
&nbsp;#
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Or&nbsp;for&nbsp;all&nbsp;existing&nbsp;and&nbsp;future&nbsp;interfaces&nbsp;like&nbsp;this:
&nbsp;<BR>

&nbsp;<BR>
&nbsp;#&nbsp;for&nbsp;f&nbsp;in&nbsp;/proc/sys/net/ipv4/conf/*/rp_filter;&nbsp;do
&nbsp;<BR>
&nbsp;#&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;1&nbsp;&gt;&nbsp;$f
&nbsp;<BR>
&nbsp;#&nbsp;done
&nbsp;<BR>
&nbsp;#
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Debian&nbsp;does&nbsp;this&nbsp;by&nbsp;default&nbsp;where&nbsp;possible.&nbsp;If&nbsp;you&nbsp;have&nbsp;asymmetric&nbsp;&nbsp;<BR>
routing
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;(ie.&nbsp;you&nbsp;expect&nbsp;packets&nbsp;coming&nbsp;in&nbsp;from&nbsp;strange&nbsp;directions),&nbsp;you&nbsp;will&nbsp;want
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;to&nbsp;disable&nbsp;this&nbsp;filtering&nbsp;on&nbsp;those&nbsp;interfaces.
&nbsp;<BR>
O
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Logging&nbsp;is&nbsp;useful&nbsp;when&nbsp;setting&nbsp;up&nbsp;a&nbsp;firewall&nbsp;if&nbsp;something&nbsp;isn't&nbsp;working,
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;but&nbsp;on&nbsp;a&nbsp;production&nbsp;firewall,&nbsp;always&nbsp;combine&nbsp;it&nbsp;with&nbsp;the&nbsp;`limit'&nbsp;match,&nbsp;&nbsp;<BR>
to
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;prevent&nbsp;someone&nbsp;from&nbsp;flooding&nbsp;your&nbsp;logs.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;I&nbsp;highly&nbsp;recommend&nbsp;connection&nbsp;tracking&nbsp;for&nbsp;secure&nbsp;systems:&nbsp;it&nbsp;introduces
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;some&nbsp;overhead,&nbsp;as&nbsp;all&nbsp;connections&nbsp;are&nbsp;tracked,&nbsp;but&nbsp;is&nbsp;very&nbsp;useful&nbsp;for&nbsp;&nbsp;&nbsp;&nbsp;<BR>
he
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;controlling&nbsp;access&nbsp;to&nbsp;your&nbsp;networks.&nbsp;You&nbsp;may&nbsp;need&nbsp;to&nbsp;load&nbsp;the
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;`ip_conntrack.o'&nbsp;module&nbsp;if&nbsp;your&nbsp;kernel&nbsp;does&nbsp;not&nbsp;load&nbsp;modules
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;automatically,&nbsp;and&nbsp;it's&nbsp;not&nbsp;built&nbsp;into&nbsp;the&nbsp;kernel.&nbsp;If&nbsp;you&nbsp;want&nbsp;to
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;accurately&nbsp;track&nbsp;complex&nbsp;protocols,&nbsp;you'll&nbsp;need&nbsp;to&nbsp;load&nbsp;the&nbsp;appropriate
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;helper&nbsp;module&nbsp;(eg.&nbsp;`ip_conntrack_ftp.o').
&nbsp;<BR>

&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-N&nbsp;no-conns-from-ppp0
&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-A&nbsp;no-conns-from-ppp0&nbsp;-m&nbsp;state&nbsp;--state&nbsp;ESTABLISHED,RELATED&nbsp;-j&nbsp;&nbsp;<BR>
ACCEPT
&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-A&nbsp;no-conns-from-ppp0&nbsp;-m&nbsp;state&nbsp;--state&nbsp;NEW&nbsp;-i&nbsp;!&nbsp;ppp0&nbsp;-j&nbsp;ACCEPT
&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-A&nbsp;no-conns-from-ppp0&nbsp;-i&nbsp;ppp0&nbsp;-m&nbsp;limit&nbsp;-j&nbsp;LOG&nbsp;--log-prefix&nbsp;&quot;Bad&nbsp;&nbsp;<BR>
pack
&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-A&nbsp;no-conns-from-ppp0&nbsp;-i&nbsp;!&nbsp;ppp0&nbsp;-m&nbsp;limit&nbsp;-j&nbsp;LOG&nbsp;--log-prefix&nbsp;&quot;Bad&nbsp;&nbsp;<BR>
pa
&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-A&nbsp;no-conns-from-ppp0&nbsp;-j&nbsp;DROP
&nbsp;<BR>

&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-A&nbsp;INPUT&nbsp;-j&nbsp;no-conns-from-ppp0
&nbsp;<BR>
&nbsp;#&nbsp;iptables&nbsp;-A&nbsp;FORWARD&nbsp;-j&nbsp;no-conns-from-ppp0
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Building&nbsp;a&nbsp;good&nbsp;firewall&nbsp;is&nbsp;beyond&nbsp;the&nbsp;scope&nbsp;of&nbsp;this&nbsp;HOWTO,&nbsp;but&nbsp;my&nbsp;advice
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;is&nbsp;`always&nbsp;be&nbsp;minimalist'.&nbsp;See&nbsp;the&nbsp;Security&nbsp;HOWTO&nbsp;for&nbsp;more&nbsp;information&nbsp;on
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;testing&nbsp;and&nbsp;probing&nbsp;your&nbsp;box.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;----------------------------------------------------------------------&nbsp;&nbsp;<BR>
n
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Next&nbsp;Previous&nbsp;Contents
&nbsp;<BR>
&nbsp;<BR>
--&nbsp;<BR>
)))))))))))))))))))))))))))))))))))))))))))))))))))&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;((((((((((((生命的欢喜可以再影印一张吗?((((((((((((&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;))))))))))))老去的热情可以再拉皮整形吗?))))))))))))&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;((((((((((((病中的真理可以再传真校对吗?((((((((((((&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;))))))))))))死掉的爱情可以再输入键出吗?))))))))))))&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;(((((((((((((((((((((((((((((((((((((((((((((((((((&nbsp;<BR>
&nbsp;<BR>
※&nbsp;来源:·BBS&nbsp;水木清华站&nbsp;smth.org·[FROM:&nbsp;202.112.45.49]&nbsp;&nbsp;<BR>


<CENTER><H1>BBS水木清华站∶精华区</H1></CENTER>



</BODY>

</HTML>