Forum Debian Users Gang

asiakalisz · 2014-10-01 16:53:32

Cześć, mój pierwszy post na forum. Mam problem z ustawieniami iptables, tak by działał tor browser. Dotychczas wyglądało to tak:

Kod:

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

czyli chyba najprościej jak się da. Chcąc by tor browser łączył się z siecią (po poszukiwaniach w internecie) minimalnie zmodyfikowałam firewalla dodając:

Kod:

iptables -I INPUT -j ACCEPT -i lo -p tcp --dport 8118:9050 --sport 1:65000

Oczywiście tor browser nadal nie łączy się z siecią... Bardzo proszę o pomoc. Wiadomo mogę dać "iptables -P INPUT ACCEPT", ale chcę przynajmniej w małym stopniu być bezpieczna.

Ostatnio edytowany przez asiakalisz (2014-10-01 17:01:27)

ethanak · 2014-10-01 17:37:27

z ciekawości - co się takiego stanie jak dasz accept na inpucie?

asiakalisz · 2014-10-01 17:56:27

Jestem początkującą użytkowniczką i używam debiana właściwie tylko do korzystania z internetu- proszę o wyrozumiałość:) Z tego co się orientuję zmniejszy się bezpieczeństwo systemu, bo zapora sieciowa będzie przepuszczać wszystkie połączenia z zewnątrz. Jeśli chodzi o tor browser to zacznie działać;)

ethanak · 2014-10-01 18:09:27

nic ci się nie zmniejszy. to nie windows.
zaraz tu pięciu mądrych się wypowie że firewalle i takie tam... a normalny użytkownik tego nie potrzebuje.
bo i po co?

asiakalisz · 2014-10-01 18:21:19

Ok, to jest twoje zdanie, ale byłabym jednak wdzięczna za odpowiedź na pytanie z pierwszego postu. Nawet jak podłącze się do wi-fi w hotelu, to są osoby, które lubią sobie poskanować kto się podłączył.

uzytkownikubunt · 2014-10-01 18:22:21

1075

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:58:57)

ethanak · 2014-10-01 18:38:08

to będą wiedziały że ktoś się podłączył - niestety warstwa niższa niż iptables (możesz sobie sto fajerłolów konfigurować a i tak nie ma to żadnego znaczenia).
pytanie: co z tego że się dowiedział że się podłączyłaś? proszę odpowiedz...

uzytkownikubunt · 2014-10-01 18:53:06

1077

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:59:00)

ilin · 2014-10-01 18:59:37

[quote=asiakalisz]Jestem początkującą użytkowniczką i używam debiana właściwie tylko do korzystania z internetu- proszę o wyrozumiałość:)[/quote]
[quote=uzytkownikubunt]Mogą sprawdzić na bazie fingerprintów wersję usługi i jeśli jest stara, to znaczy że nie załatana i można atakować. Trudniej atakować wiedząc mniej o ofierze.
Aby nie było - też nie jestem jakoś bardzo entuzjastycznie nastawiony do filtrowania iptablesem, by znacząco polepszyć bezpieczeństwo, ale trochę powiększa to. Inna sprawa, że ja bym właśnie poszedł wyżej i według mnie najbardziej skuteczne byłoby filtrowanie w warstwie aplikacji, ale często połączenia są szyfrowane i oprócz zalet ma to wady w postaci utrudnionego filtrowanai takiego ruchu programami np privoxy do filtrowania http.
BTWCo do mojej odpowiedzi to lo to interfejs wewnętrzny - jeśli go otworzysz to nikt z zewnątrz się nie podłączy do usługi na Twoim PC, a jedynie aplikacje już uruchomione na Twoim systemie będą mogły się podłączyć.[/quote]
Ja bym prosił o nieteoretyzowanie tylko wskazywanie konkretnych rozwiązań .
Albo siedzimy cicho.

ethanak · 2014-10-01 19:07:22

powiem inaczej: przez paręnaście lat miałem domowego desktopa na zewnętrznym ip (dzisiaj tylko na ipv6 ale to przejściowe) i nigdy nie miałem problemów.
co innego z serwerami - przynajmniej raz miałem wątpliwą przyjemność reinstalacji serwera na pld ra... ale czasy jajka 2.2 to już raczej historia. dzisiaj używam iptables/ipset do wywalania niegrzecznych palantów - ale nawet nie chodzi mi o bezpieczeństwo tylko o wyciepanie botów które chcą mi obciążyć maszynę próbami włamań do wordpressów czy dostarczaniem spamów do mojego exima.

@ilin: polecam nicnierobienie

Ostatnio edytowany przez ethanak (2014-10-01 19:08:38)

ilin · 2014-10-01 19:12:20

[quote=ethanak]@ilin: polecam nicnierobienie[/quote]
To nie tak.
Albo robimy coś konkretnie albo siedzimy cicho i nie wymądrzamy się.
Zwłaszcza jeśli mamy do czynienia z nowym użytkownikiem/użytkowniczką.
Namieszać w głowie to nie sztuka.

Osobiście uważam że to przesadne dbanie o bezpieczeństwo na desktopie z linuksem to jakaś paranoja.

asiakalisz · 2014-10-01 19:15:00

@uzytkownikubunt twoje rozwiązanie działa i wydaje się dość bezpieczne (z tego co napisałeś, to bezpieczne jak na iptables:) ) dziękuję bardzo:) Problem rozwiązany (chyba że ktoś ma jeszcze lepszy pomysł ;) )

Time (s)	Query
0.00016	SET CHARSET latin2
0.00007	SET NAMES latin2
0.00178	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.225.149.238' WHERE u.id=1
0.00079	UPDATE punbb_online SET logged=1728250308 WHERE ident='18.225.149.238'
0.00047	SELECT * FROM punbb_online WHERE logged<1728250008
0.00080	DELETE FROM punbb_online WHERE ident='54.36.148.122'
0.00044	SELECT topic_id FROM punbb_posts WHERE id=276877
0.00086	SELECT id FROM punbb_posts WHERE topic_id=26495 ORDER BY posted
0.00086	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26495 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00081	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26495 ORDER BY p.id LIMIT 0,25
0.00682	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26495
Total query time: 0.01391 s

Forum Debian Users Gang

Ogłoszenie

#1 2014-10-01 16:53:32

asiakalisz - Nowy użytkownik

tor browser nie łączy się z intenetem- problem z ustawieniami iptables

Kod:

Kod:

#2 2014-10-01 17:37:27

ethanak - Użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#3 2014-10-01 17:56:27

asiakalisz - Nowy użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#4 2014-10-01 18:09:27

ethanak - Użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#5 2014-10-01 18:21:19

asiakalisz - Nowy użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#6 2014-10-01 18:22:21

uzytkownikubunt - Zbanowany

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#7 2014-10-01 18:38:08

ethanak - Użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#8 2014-10-01 18:53:06

uzytkownikubunt - Zbanowany

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#9 2014-10-01 18:59:37

ilin - Palacz

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#10 2014-10-01 19:07:22

ethanak - Użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#11 2014-10-01 19:12:20

ilin - Palacz

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

#12 2014-10-01 19:15:00

asiakalisz - Nowy użytkownik

Re: tor browser nie łączy się z intenetem- problem z ustawieniami iptables

Stopka forum

Informacje debugowania