>Очень радует, что Linux такая вот защищенная система от вирусов. Но сетевые
>атаки никто не отменял.
>Знатоки, подскажите пожалуйста, что нужно подкрутить в штатном фаерволле (или где-то еще?),
>что бы максимально обезопасить домашний ноутбук? Спасибо. Не принимать соединения "снаружи". Совсем... Например, так:
$ cat ./client-all.conf
#
# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#
version 5
# Accept all client traffic on any interface
interface any world
client all accept
$ firehol ./client-all.conf debug |./explain-sorter
-N out_world_ftp_c3
-A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
-A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport ftp-data -m state --state ESTABLISHED -j ACCEPT
-A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
-N in_world_ftp_c3
-A in_world_ftp_c3 -p tcp --sport ftp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
-A in_world_ftp_c3 -p tcp --sport ftp-data --dport 32768:61000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A in_world_ftp_c3 -p tcp --sport 1024:65535 --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
-N out_world_irc_c2
-A out_world_irc_c2 -p tcp --sport 32768:61000 --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_world_irc_c2
-A in_world_irc_c2 -p tcp --sport 6667 --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
-N out_world_all_c1
-A out_world_all_c1 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_world_all_c1
-A in_world_all_c1 -m state --state ESTABLISHED -j ACCEPT
-N out_world
-A out_world -j out_world_all_c1
-A out_world -j out_world_irc_c2
-A out_world -j out_world_ftp_c3
-A out_world -m state --state RELATED -j ACCEPT
-A out_world -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''OUT-world':'
-A out_world -j DROP
-N in_world
-A in_world -j in_world_all_c1
-A in_world -j in_world_irc_c2
-A in_world -j in_world_ftp_c3
-A in_world -m state --state RELATED -j ACCEPT
-A in_world -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''IN-world':'
-A in_world -j DROP
-A FORWARD -m state --state RELATED -j ACCEPT
-A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='PASS-unknown:'
-A FORWARD -j DROP
-A OUTPUT -j out_world
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='OUT-unknown:'
-A OUTPUT -j DROP
-A INPUT -j in_world
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='IN-unknown:'
-A INPUT -j DROP
$ _
Желательно вообще не ходить в инет -- но это по вкусу. %)
Вариант для распечатки
Информационная безопасность (Безопасность системы / Linux)
(ok) on 05-Фев-10, 04:26 
