Forum Debian Users Gang

asiakalisz · 2014-10-01 16:53:32

Cześć, mój pierwszy post na forum. Mam problem z ustawieniami iptables, tak by działał tor browser. Dotychczas wyglądało to tak:

Kod:

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

czyli chyba najprościej jak się da. Chcąc by tor browser łączył się z siecią (po poszukiwaniach w internecie) minimalnie zmodyfikowałam firewalla dodając:

Kod:

iptables -I INPUT -j ACCEPT -i lo -p tcp --dport 8118:9050 --sport 1:65000

Oczywiście tor browser nadal nie łączy się z siecią... Bardzo proszę o pomoc. Wiadomo mogę dać "iptables -P INPUT ACCEPT", ale chcę przynajmniej w małym stopniu być bezpieczna.

Ostatnio edytowany przez asiakalisz (2014-10-01 17:01:27)

ethanak · 2014-10-01 17:37:27

z ciekawości - co się takiego stanie jak dasz accept na inpucie?

asiakalisz · 2014-10-01 17:56:27

Jestem początkującą użytkowniczką i używam debiana właściwie tylko do korzystania z internetu- proszę o wyrozumiałość:) Z tego co się orientuję zmniejszy się bezpieczeństwo systemu, bo zapora sieciowa będzie przepuszczać wszystkie połączenia z zewnątrz. Jeśli chodzi o tor browser to zacznie działać;)

ethanak · 2014-10-01 18:09:27

nic ci się nie zmniejszy. to nie windows.
zaraz tu pięciu mądrych się wypowie że firewalle i takie tam... a normalny użytkownik tego nie potrzebuje.
bo i po co?

asiakalisz · 2014-10-01 18:21:19

Ok, to jest twoje zdanie, ale byłabym jednak wdzięczna za odpowiedź na pytanie z pierwszego postu. Nawet jak podłącze się do wi-fi w hotelu, to są osoby, które lubią sobie poskanować kto się podłączył.

uzytkownikubunt · 2014-10-01 18:22:21

1075

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:58:57)

ethanak · 2014-10-01 18:38:08

to będą wiedziały że ktoś się podłączył - niestety warstwa niższa niż iptables (możesz sobie sto fajerłolów konfigurować a i tak nie ma to żadnego znaczenia).
pytanie: co z tego że się dowiedział że się podłączyłaś? proszę odpowiedz...

uzytkownikubunt · 2014-10-01 18:53:06

1077

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:00)

ilin · 2014-10-01 18:59:37

asiakalisz napisał(-a):
Jestem początkującą użytkowniczką i używam debiana właściwie tylko do korzystania z internetu- proszę o wyrozumiałość:)

uzytkownikubunt napisał(-a):
Mogą sprawdzić na bazie fingerprintów wersję usługi i jeśli jest stara, to znaczy że nie załatana i można atakować. Trudniej atakować wiedząc mniej o ofierze.
Aby nie było - też nie jestem jakoś bardzo entuzjastycznie nastawiony do filtrowania iptablesem, by znacząco polepszyć bezpieczeństwo, ale trochę powiększa to. Inna sprawa, że ja bym właśnie poszedł wyżej i według mnie najbardziej skuteczne byłoby filtrowanie w warstwie aplikacji, ale często połączenia są szyfrowane i oprócz zalet ma to wady w postaci utrudnionego filtrowanai takiego ruchu programami np privoxy do filtrowania http.
BTWCo do mojej odpowiedzi to lo to interfejs wewnętrzny - jeśli go otworzysz to nikt z zewnątrz się nie podłączy do usługi na Twoim PC, a jedynie aplikacje już uruchomione na Twoim systemie będą mogły się podłączyć.

Ja bym prosił o nieteoretyzowanie tylko wskazywanie konkretnych rozwiązań .
Albo siedzimy cicho.

ethanak · 2014-10-01 19:07:22

powiem inaczej: przez paręnaście lat miałem domowego desktopa na zewnętrznym ip (dzisiaj tylko na ipv6 ale to przejściowe) i nigdy nie miałem problemów.
co innego z serwerami - przynajmniej raz miałem wątpliwą przyjemność reinstalacji serwera na pld ra... ale czasy jajka 2.2 to już raczej historia. dzisiaj używam iptables/ipset do wywalania niegrzecznych palantów - ale nawet nie chodzi mi o bezpieczeństwo tylko o wyciepanie botów które chcą mi obciążyć maszynę próbami włamań do wordpressów czy dostarczaniem spamów do mojego exima.

@ilin: polecam nicnierobienie

Ostatnio edytowany przez ethanak (2014-10-01 19:08:38)

ilin · 2014-10-01 19:12:20

ethanak napisał(-a):
@ilin: polecam nicnierobienie

To nie tak.
Albo robimy coś konkretnie albo siedzimy cicho i nie wymądrzamy się.
Zwłaszcza jeśli mamy do czynienia z nowym użytkownikiem/użytkowniczką.
Namieszać w głowie to nie sztuka.

Osobiście uważam że to przesadne dbanie o bezpieczeństwo na desktopie z linuksem to jakaś paranoja.

asiakalisz · 2014-10-01 19:15:00

@uzytkownikubunt twoje rozwiązanie działa i wydaje się dość bezpieczne (z tego co napisałeś, to bezpieczne jak na iptables:) ) dziękuję bardzo:) Problem rozwiązany (chyba że ktoś ma jeszcze lepszy pomysł ;) )

Forum Debian Users Gang

Ogłoszenie

#1 2014-10-01 16:53:32

asiakalisz - Nowy użytkownik

tor browser nie łączy się z intenetem- problem z ustawieniami iptables

Kod:

Kod:

#2 2014-10-01 17:37:27

ethanak - Użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#3 2014-10-01 17:56:27

asiakalisz - Nowy użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#4 2014-10-01 18:09:27

ethanak - Użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#5 2014-10-01 18:21:19

asiakalisz - Nowy użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#6 2014-10-01 18:22:21

uzytkownikubunt - Zbanowany

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#7 2014-10-01 18:38:08

ethanak - Użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#8 2014-10-01 18:53:06

uzytkownikubunt - Zbanowany

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#9 2014-10-01 18:59:37

ilin - Palacz

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

asiakalisz napisał(-a):

uzytkownikubunt napisał(-a):

#10 2014-10-01 19:07:22

ethanak - Użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#11 2014-10-01 19:12:20

ilin - Palacz

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

ethanak napisał(-a):

#12 2014-10-01 19:15:00

asiakalisz - Nowy użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

Stopka forum