Arhīvs ‘iptables’ kategorijai

  • VPN pass-through uz linux tipa rūtera

    Trešdiena,18.novembris, 2009

    Saskāros ar interesantu situāciju, kad strādājot no tīkla, kuru rūtē (un NATo)  parasta linux kaste, man nedarbojās pptp VPN konekcijas. Palasot pāris spriedelējumus internetā, itkā sanāk ka linux kaste nespēj saprast/atsekot kuras pakas pieder kurai konekcijai, ja ir vairāk par vienu pptp konekciju.
    To risina šitā:

    modprobe ip_conntrack_pptp
    modprobe ip_nat_pptp

    šie divi moduļi nodrošina kernelim nepieciešamo funkcionalitāti. Tagad strādā. Principā sākumā tas likās ļoti dīvaini, jo uzskatīju, pptp ir parasta tcp/ip konekcija. Bet tā īsti nav. Tur notiek kaut kas bišķi sarežģītāks. …un šobrīd tiešām nav nekāda interese tajā iedziļināties. Galvenais, ka risinājums ir.

    Btw, cik zini ir Cisco implementēts aģents, kas nodrošina VPN caur 80 vai 443 portu, tas gadījumam, ja firma negrib, ka no tās biroja kāds grib konektēt kaut kur uz āru. Šo te Cisco nevarot apstādināt nekas.  (noderīgi :) )

  • Drošāks Linux serveris

    Ceturtdiena,5.marts, 2009

    Pāris lietas, kuras ieviešot – nozīmīgi paagustinās servera drošība.

    1. Sendmail – vecs, caurumains mēsls. Un vēljoprojām tas ir default mailserveris linux kastēm. Aizgriezt 25 portu no ārpuses.
    2. ssh tiešā root pieeja - to vajag atslēgt  (piem. freeBSD  tas ir atslēgts by default). Ne tikai paagustina drošību, bet arī padara pārskatāmus lastlogus, ja sistēmu uzture vairāki sisadmiņi.
    3. ssh ports -  ssh portus, mūsdienās “bombardē” boti. Pieredze rāda, ka jaunuzstādīts serveris ar kredenciāļiem (root:qwerty) tiks uzlauzts 2-3 dienu laikā, nozombēts, un padarīts par spamojošu kasti. Manuprāt, laba prakse, ir mainīt ssh portu uz kaut ko virs 2000, jo tik agustu parasti skaneri neskatās. Reālistiski jau – ja lietosiet normālu paroli neviens bots jūs nesalauzīs. Bet logi lieki pildīsies. Tas taču arī nav forši. (vairāk…)

  • Kā izmainīt iptables

    Pirmdiena,19.janvāris, 2009

    Kā izmainīt defaultos iptables parametrus uz CentOS/RedHat:

    vim /etc/sysconfig/iptables

    -A RH-Firewall-1-INPUT -s 10.10.10.20 -m state –state NEW -m tcp -p tcp –dport 389 -j ACCEPT

    Piezīme: 10.10.10.20 – IP adreses paraugs, 389 – ports