Надежные интерфейсы

В ответ на этот запрос следует указать, каким интерфейсам брандмауэр должен полностью доверять. Для таких интерфейсов ядро не будет осуществлять фильтрацию пакетов, перепоручив эту задачу фильтрам более высокого уровня, например программе TCP_Wrappers. Как минимум, в список следует включить интерфейс обратной связи 1о.

Стандартным ответом на запрос будет 1о (использовать интерфейс обратной связи в качестве стандартного надежного интерфейса).

Открытые интерфейсы

В ответ на этот запрос следует указать, какие сетевые интерфейсы системы подключены к сетям общего доступа. Для таких интерфейсов будет выполняться максимальная фильтрация. Разрешается использовать метасимвол '+'. Например, если есть несколько плат Ethernet, всех их можно обозначить как eth+. Названия интерфейсов в списке разделяются пробелами.

Стандартным ответом на запрос будет спецификация "eth+ ррр+ slip+".

Интерфейсы NAT (внутренние)

Если в системе используется механизм NAT или выполняется маскирование IР-адресов, следует указать локальные интерфейсы, участвующие в этом. Такие интерфейсы считаются частично надежными. Ниже мы укажем, какие службы доступны через такие интерфейсы. Подстановочные знаки в спецификации интерфейсов недопустимы. По умолчанию никакие интерфейсы не являются локальными интерфейсами NAT.

Контроль ТСР-служб

Под контролем здесь понимается журнальная регистрация попыток подключения (как успешных, так и нет), осуществляемых через открытые интерфейсы. Журнальные сообщения направляются в систему Syslog (селектор kern. info). В списке можно указывать как названия служб (в соответствии с файлом /etc/services, например ssh), так и номера портов (например, 22). Это могут быть не только службы, работающие в системе, но и прочие часто атакуемые службы, попытки подключения к которым следует фиксировать.

Стандартным ответом на запрос будет спецификация "telnet ftp imap рорЗ finger sunrpc exec login Linuxconf ssh".

Контроль UDP-служб

Указанные здесь UDP-службы будут контролироваться на предмет доступа через сконфигурированные выше открытые интерфейсы. Любые попытки подключения к этим службам будут регистрироваться в системе Syslog. Синтаксис спецификации такой же, как и в случае ТСР-служб: разделенный пробелами список имен из файла /etc/services или номеров портов. Разрешается указывать службы, которые не функционируют в системе.

Стандартным ответом на запрос будет спецификация "31337" (порт, используемый BackOrifice — программой дистанционного контроля, разработанной для Windows).


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок