Vlákno názorů k článku Proč není NAT totéž co firewall od Jan Janech - Ako mozem pouzit ten source routing? sa mi...
-
zd.valek (neregistrovaný)ano, taky mě zaujala tato možnost, ale můj poskytovatel asi má firewall :( (co by za to windowsák dal :D a já na to nadávám).
Jinak nevím jestli mám firewall, mam nainstalovane Debiany a nastavení firewallu to po mě nikdy nechtělo, tak asi nemam. Za dva roky na 100Mbit internetu ale ani jeden problém, tak možná jo ???
Jo a NAT(iptables) používám pro notebook, ale origoš konfigurace nefunguje, tak jsem stahnul na netu jinou, ta dříve fungovala (ale jen NAT bez Firewallu) a teď už zase nefunguje :( Podobne problemy jsem měl i dříve - odzkoušené věci nefungujou - proto do toho nechcu moc rýpat - jen zprovoznit a doufat že bude fungovat co nejdýl. -
Peto_MiG (neregistrovaný)Debian standardne NEMA zapnuty firewall.
Odporucam aspon zadat do /etc/hosts.deny riadok
sshd: ALL
Po Internete totiz rastie mnozstvo primitivnych botovych utokov, ktore spocivaju v tom, ze sa bot snazi pripojit na Linuxovu masinu cez ssh a uhadnut rootovske heslo.
Na zakladnu ochranu by mali postacit velmi jednoduche pravidla. Policy DROP pre IN, OUT aj FW, povolit loopback na IN, povolit vsetko na OUT, povolit iba vyziadane na IN. -
ZerXen (neregistrovaný)Ja mam jako heslo snad vsude fyzikalni definice { i se je tak podle toho naucim } ktery maj vice jak 64 znaku a delam ruzne promenne { takze i cisla a maly velka pismena } ... mohl by sem vam ukazat log z sshd kterej ma za mesic 120MB a to i po tom co je na tyden bloknuta IP adresa po 3 spatnejch pokusech.
-
DotaZ (neregistrovaný)ve vsi ucte ale to je takovy problem ssh naucit overovani pouze podle klice? IMHO vydavas vice energie na tebou zminenou pseudo ochranu.
kombinace klic a host.alow/deny je temer neprustrelna. takze proc to komplikovat hlopostmi typu dlouhe tezke heslo... u mych 52 serveru by me asi trefilo. kazdy rack ma zhruba 3-6 hesel...
krat 52 a mam dalsi titul z teoreticke matematiky - ve vasem podani "bezpecnosti" :-D -
zd.valek (neregistrovaný)tak jsem si už nainstaloval firewall (arno-iptables-firewall). Má to zároveň dělat i NAT (je to vlastně konfigurace iptables). Jenže NAT opět nefunguje a tím pádem nevím ani jestli funguje ten firewall. Jo a SSH si nemůžu zakázat, protože často lezu na PC z netu. Zkusím raději lépe zabezpečit ssh. Díky za rady, jinak deny a allow hosts nastavené mám.
-
JardaP (neregistrovaný)Neni lepsi zakazat root login a nainstalovat denyhost? Vyhoda je uz v tom, ze clovek nema zadelany log desetitisici pokusu od nejakeho smejda a sance uspesneho utoku se snizi temer na nulu. Pri mem nastaveni ma utocnik 5 pokusu, ktere cron job pocita kazdych 30vterin a pak je na tyden na black listu. Cili si moc nezautoci a musel by mit z pekla kliku.
-
Jaroslav Šmíd (neregistrovaný)No, já mám např router (s NATem). Ten má svou IP adresu (hledej v manuálu), na kterou se dostaneš z prohlížeče. Pak si tam nastavíš forward portu ssh na nějakou vnitřní adresu tvého PC (předpoklad vypnuté DHCP). Potom ten router při požadavku připojení na ten port přesměruje požadavek na tvůj PC a seš tam.
-
Hej... tak to pouzivam aj ja... ale ak dam na ssh port 22, okamzite mi stupne traffic koli tomu ze volaki debili skusaju slovnikovy utok... a na DSL z 1GB limitom si to moc nemozem dovolit :) a ak dam iny port (ako to mam teraz), tak s tym zasik odmietaju robit niektore debilnejsie aplikacie (napriklad midnight commander), kde s inymi portami ako 22 neratali -
hahaha (neregistrovaný)No na ten source routing kludne zabudni. Tvoj Internet provider urcite prevadzkuje nejaky firewall a taka vec ako source routing sa dnes uz bez milosti zahadzuje. Nie je dovod ju pouzivat a kazdy znalejsi admin nastavuje firewall tak, aby pakety s volbou source routing zahadzoval...
