systemd порядок запуска юнитов.

white_ghost	# 12 лет, 2 месяца назад
Темы: 13 Сообщения: 297 Участник с: 22 января 2013	хм... может ему тогда еще localhost прописать пусть слушает. вообще конечно не дело, сначало открываем на всех интерфейсах тратим ресурсы а потом закрываем фаерволом тратим ресурсы. в любом случае на внешнем интерфейсе ssh я открывать не буду. не пройдет и минуты... точно вам говорю уже пробовал.

# 12 лет, 2 месяца назад

Сообщения: 297

Участник с: 22 января 2013

хм... может ему тогда еще localhost прописать пусть слушает. вообще конечно не дело, сначало открываем на всех интерфейсах тратим ресурсы а потом закрываем фаерволом тратим ресурсы. в любом случае на внешнем интерфейсе ssh я открывать не буду. не пройдет и минуты... точно вам говорю уже пробовал.

Natrio	# 12 лет, 2 месяца назад
Темы: 48 Сообщения: 4771 Участник с: 08 января 2011	white_ghost хм... может ему тогда еще localhost прописать пусть слушает. вообще конечно не дело, сначало открываем на всех интерфейсах тратим ресурсы а потом закрываем фаерволом тратим ресурсы. в любом случае на внешнем интерфейсе ssh я открывать не буду. не пройдет и минуты... точно вам говорю уже пробовал. У вас какое-то странное представление о "ресурсах" :)) Не тратятся на это никакие ресурты, просто проверка исходящего адреса пакетов будет перенесена из одного места в другое, причём оба в ядре. Чтобы чего не надо не открыли извне – надо использовать iptables. А вот на попытках надёжно повесить критически важный сервер на ненадёжный адрес вы их действительно потратите. P.S. Ну или так и скажите – не умею готовить iptables, помогите люди добрые.

Natrio

# 12 лет, 2 месяца назад

Темы: 48

Сообщения: 4771

Участник с: 08 января 2011

white_ghost
хм... может ему тогда еще localhost прописать пусть слушает. вообще конечно не дело, сначало открываем на всех интерфейсах тратим ресурсы а потом закрываем фаерволом тратим ресурсы. в любом случае на внешнем интерфейсе ssh я открывать не буду. не пройдет и минуты... точно вам говорю уже пробовал.

У вас какое-то странное представление о "ресурсах" :))
Не тратятся на это никакие ресурты, просто проверка исходящего адреса пакетов будет перенесена из одного места в другое, причём оба в ядре.
Чтобы чего не надо не открыли извне – надо использовать iptables.
А вот на попытках надёжно повесить критически важный сервер на ненадёжный адрес вы их действительно потратите.

P.S.
Ну или так и скажите – не умею готовить iptables, помогите люди добрые.

sleepycat	# 12 лет, 2 месяца назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	netfilter встроен в ядро, даже когда он не работает, формально пакеты ну так сказать мягко говоря все равно через него идут, он всегда "напрягается" говоря вашими словами. Нормальные сетевики обычно привязывают прослушиваемый порт к одному айпи адресу исключительно в целях безопасности, чтобы программа не отвечала на ВСЕ источники , которые есть где-то в правилах ,а также, когда они могут определить группы трафика, но при этом являются параноиками. Объясню иначе, например я хочу чтобы мой демон слушал ВСЕХ, кроме тех, что зовут его с ван интерфейса (в правиле соединения я указываю случать всех *, а биндю порт только на нужный адаптер). Я не знаю ип источников, у меня несколько подсетей и не могу выделить точные ип адреса, так мой коллега использует диашсипи и адреса компов часто меняются. Такое редкость, так как обычно выделить принадлежность трафика очень легко, например интерфейс на который пришел входящий пакет, а значит разрулить такой пакет легко фаерволом, который более гибче, чем встроенные механизмы ssh, для тех, что называется, кто фаерволы не ставит, но чтото хочет предпринять. Так же могу посоветовать сменить порт сервера, одно это движение прекратило атаку брутфорсом на мой домашний сервер , когда я от лени поместил его в дмз зону роутера для проверки впн оля "сервер - сервер" с рабочим роутером. Второе, если вы ставите задачи распределения трафика(свой - чужой), то такой сервер без фаервола - это нонсенс. имхо Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 12 лет, 2 месяца назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

netfilter встроен в ядро, даже когда он не работает, формально пакеты ну так сказать мягко говоря все равно через него идут, он всегда "напрягается" говоря вашими словами. Нормальные сетевики обычно привязывают прослушиваемый порт к одному айпи адресу исключительно в целях безопасности, чтобы программа не отвечала на ВСЕ источники , которые есть где-то в правилах ,а также, когда они могут определить группы трафика, но при этом являются параноиками. Объясню иначе, например я хочу чтобы мой демон слушал ВСЕХ, кроме тех, что зовут его с ван интерфейса (в правиле соединения я указываю случать всех *, а биндю порт только на нужный адаптер). Я не знаю ип источников, у меня несколько подсетей и не могу выделить точные ип адреса, так мой коллега использует диашсипи и адреса компов часто меняются. Такое редкость, так как обычно выделить принадлежность трафика очень легко, например интерфейс на который пришел входящий пакет, а значит разрулить такой пакет легко фаерволом, который более гибче, чем встроенные механизмы ssh, для тех, что называется, кто фаерволы не ставит, но чтото хочет предпринять. Так же могу посоветовать сменить порт сервера, одно это движение прекратило атаку брутфорсом на мой домашний сервер , когда я от лени поместил его в дмз зону роутера для проверки впн оля "сервер - сервер" с рабочим роутером. Второе, если вы ставите задачи распределения трафика(свой - чужой), то такой сервер без фаервола - это нонсенс. имхо

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

white_ghost	# 12 лет, 2 месяца назад
Темы: 13 Сообщения: 297 Участник с: 22 января 2013	Natrio white_ghost хм... может ему тогда еще localhost прописать пусть слушает. вообще конечно не дело, сначало открываем на всех интерфейсах тратим ресурсы а потом закрываем фаерволом тратим ресурсы. в любом случае на внешнем интерфейсе ssh я открывать не буду. не пройдет и минуты... точно вам говорю уже пробовал. У вас какое-то странное представление о "ресурсах" :)) Не тратятся на это никакие ресурты, просто проверка исходящего адреса пакетов будет перенесена из одного места в другое, причём оба в ядре. Чтобы чего не надо не открыли извне – надо использовать iptables. А вот на попытках надёжно повесить критически важный сервер на ненадёжный адрес вы их действительно потратите. P.S. Ну или так и скажите – не умею готовить iptables, помогите люди добрые. Да почему ж ненадежный? этот линк у меня практически буквально под носом лежит и лампочками моргает. И сам по себе он точно никуда не пропадет, пропадает он по той причине что я его иногда вытаскиваю. iptables я действительно пользоватся не умею, но помоему iptables -A input -i ppp0 -p tcp --dport 22 -j DROP закроет shh извне или наоборот в зависимости от политики.

white_ghost

# 12 лет, 2 месяца назад

Темы: 13

Сообщения: 297

Участник с: 22 января 2013

Natrio
white_ghost
хм... может ему тогда еще localhost прописать пусть слушает. вообще конечно не дело, сначало открываем на всех интерфейсах тратим ресурсы а потом закрываем фаерволом тратим ресурсы. в любом случае на внешнем интерфейсе ssh я открывать не буду. не пройдет и минуты... точно вам говорю уже пробовал.
У вас какое-то странное представление о "ресурсах" :))
Не тратятся на это никакие ресурты, просто проверка исходящего адреса пакетов будет перенесена из одного места в другое, причём оба в ядре.
Чтобы чего не надо не открыли извне – надо использовать iptables.
А вот на попытках надёжно повесить критически важный сервер на ненадёжный адрес вы их действительно потратите.

P.S.
Ну или так и скажите – не умею готовить iptables, помогите люди добрые.

Да почему ж ненадежный? этот линк у меня практически буквально под носом лежит и лампочками моргает. И сам по себе он точно никуда не пропадет, пропадает он по той причине что я его иногда вытаскиваю.
iptables я действительно пользоватся не умею, но помоему iptables -A input -i ppp0 -p tcp --dport 22 -j DROP закроет shh извне или наоборот в зависимости от политики.

Natrio	# 12 лет, 2 месяца назад
Темы: 48 Сообщения: 4771 Участник с: 08 января 2011	Ненадёжный – значит зависящий от состояния других устройств. Ваше правило закроет порт вообще, если будет стоять в начале. Достаточно простой способ настроить (а не просто разово запустить) фаерволл выглядит примерно так: В /etc/iptables/ найти файл simple_firewall.rules и скопировать там же под именем iptables.rules Если все открытые порты должны быть доступны только на локалхосте, больше ничего править не нужно. Правила для открытия через петлю и разрешения всех ICMP там уже есть. Если надо что-то добавить, то в полученном файле, в том месте, где кончаются строчки с ACCEPT и начинаются с REJECT, добавить строчки вида -A INPUT -p tcp --dport 80 -j ACCEPT или -A INPUT -p udp --dport 53 -j ACCEPT или -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT или -A INPUT -s 192.168.0.0/16 -p tcp --dport 8000 -j ACCEPT в зависимости от того, какие порты и для кого надо открыть. Общий (рекомендуемый) принцип – сначала открываем всё что надо открыть, а потом закрываем всё остальное. Чтобы включить автозапуск фаерволла, делаем systemctl enable iptables.service чтобы запустить его systemctl start iptables.service Если вы исправили файл и надо обновить правила – меняем слово start на reload.

Natrio

# 12 лет, 2 месяца назад

Темы: 48

Сообщения: 4771

Участник с: 08 января 2011

Ненадёжный – значит зависящий от состояния других устройств.
Ваше правило закроет порт вообще, если будет стоять в начале.

Достаточно простой способ настроить (а не просто разово запустить) фаерволл выглядит примерно так:
В /etc/iptables/ найти файл simple_firewall.rules и скопировать там же под именем iptables.rules
Если все открытые порты должны быть доступны только на локалхосте, больше ничего править не нужно. Правила для открытия через петлю и разрешения всех ICMP там уже есть.

Если надо что-то добавить, то в полученном файле, в том месте, где кончаются строчки с ACCEPT и начинаются с REJECT, добавить строчки вида

-A INPUT -p tcp --dport 80 -j ACCEPT

или

-A INPUT -p udp --dport 53 -j ACCEPT

или

-A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

или

-A INPUT -s 192.168.0.0/16 -p tcp --dport 8000 -j ACCEPT

в зависимости от того, какие порты и для кого надо открыть.

Общий (рекомендуемый) принцип – сначала открываем всё что надо открыть, а потом закрываем всё остальное.

Чтобы включить автозапуск фаерволла, делаем

systemctl enable iptables.service

чтобы запустить его

systemctl start iptables.service

Если вы исправили файл и надо обновить правила – меняем слово start на reload.

sleepycat	# 12 лет, 2 месяца назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	Общий (рекомендуемый) принцип – сначала открываем всё что надо открыть, а потом закрываем всё остальное. я обычно дезинтегрирую все правила, потом запрещаю все, (далее опционально открываю все по дефолту, что не нуждается в модерации, например часто исходящий траффик) и только потом перечисляю то , что можно(разрешаю). [ так делаю не методом того, что мне это нравиться, а вполне себе я надеюсь верно трактуя доки ] голосом Карцева: Скажите..товарищщщ, это неправильно? Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 12 лет, 2 месяца назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

Общий (рекомендуемый) принцип – сначала открываем всё что надо открыть, а потом закрываем всё остальное.

я обычно дезинтегрирую все правила, потом запрещаю все, (далее опционально открываю все по дефолту, что не нуждается в модерации, например часто исходящий траффик) и только потом перечисляю то , что можно(разрешаю). [ так делаю не методом того, что мне это нравиться, а вполне себе я надеюсь верно трактуя доки ] голосом Карцева: Скажите..товарищщщ, это неправильно?

white_ghost	# 12 лет, 2 месяца назад
Темы: 13 Сообщения: 297 Участник с: 22 января 2013	Эти дефолтные правила нифига не работают. там политика input drop стоит и интернета на сервере нет и в локалке тоже нет, чтобы инет появился не меняя политики (как вы предлагаете ) нужно прописывать accept на порты, а порты при исходящем конекте рандомные, так просто не просто не прописать, нужно conntrack городить для него нужно антифлудиристическую защиту с торентом плохо уживется и онлайн игрушками еще хуже

white_ghost

# 12 лет, 2 месяца назад

Темы: 13

Сообщения: 297

Участник с: 22 января 2013

Эти дефолтные правила нифига не работают. там политика input drop стоит и интернета на сервере нет и в локалке тоже нет, чтобы инет появился не меняя политики (как вы предлагаете ) нужно прописывать accept на порты, а порты при исходящем конекте рандомные, так просто не просто не прописать, нужно conntrack городить для него нужно антифлудиристическую защиту с торентом плохо уживется и онлайн игрушками еще хуже

Natrio	# 12 лет, 2 месяца назад
Темы: 48 Сообщения: 4771 Участник с: 08 января 2011	white_ghost Эти дефолтные правила нифига не работают. Да что вы говорите! Вот так прямо запустили и не работает? там политика input drop стоит и интернета на сервере нет и в локалке тоже нет Политика – это действие по-умолчанию, которое применяется к пакетам, которые НЕ ПОДОШЛИ НИ ПОД ОДНО ПРАВИЛО. чтобы инет появился не меняя политики (как вы предлагаете ) нужно прописывать accept на порты, а порты при исходящем конекте рандомные, так просто не просто не прописать Там написано :OUTPUT ACCEPT ... -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT Запрещать OUTPUT никто не собирается, такое делают только в очень специальных случаях. нужно conntrack городить Как вы себе представляете (к примеру) фаерволл с фильтром по TCP-порту БЕЗ отслеживания состояния TCP-соединений? для него нужно антифлудиристическую защиту с торентом плохо уживется и онлайн игрушками еще хуже Откуда вы это взяли? :) Тем более что iptables я действительно пользоватся не умею Думаете, отсутствие conntrack вам поможет в защите от флуда? Для защиты от DDoS в любом случае требуются нетривиальные и небеспроблеммные действия, и даже они не всегда помогают. А вы хотите вообще не изучая предмет и не представляя себе, как работает фильтрация пакетов, на коленке сделать нечто (якобы) непробиваемое.

Natrio

# 12 лет, 2 месяца назад

Темы: 48

Сообщения: 4771

Участник с: 08 января 2011

white_ghost
Эти дефолтные правила нифига не работают.

Да что вы говорите! Вот так прямо запустили и не работает?

там политика input drop стоит и интернета на сервере нет и в локалке тоже нет

Политика – это действие по-умолчанию, которое применяется к пакетам, которые НЕ ПОДОШЛИ НИ ПОД ОДНО ПРАВИЛО.

чтобы инет появился не меняя политики (как вы предлагаете ) нужно прописывать accept на порты, а порты при исходящем конекте рандомные, так просто не просто не прописать

Там написано

:OUTPUT ACCEPT
...
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Запрещать OUTPUT никто не собирается, такое делают только в очень специальных случаях.

нужно conntrack городить

Как вы себе представляете (к примеру) фаерволл с фильтром по TCP-порту БЕЗ отслеживания состояния TCP-соединений?

для него нужно антифлудиристическую защиту с торентом плохо уживется и онлайн игрушками еще хуже

Откуда вы это взяли? :)
Тем более что

iptables я действительно пользоватся не умею

Думаете, отсутствие conntrack вам поможет в защите от флуда?
Для защиты от DDoS в любом случае требуются нетривиальные и небеспроблеммные действия, и даже они не всегда помогают. А вы хотите вообще не изучая предмет и не представляя себе, как работает фильтрация пакетов, на коленке сделать нечто (якобы) непробиваемое.

white_ghost	# 12 лет, 2 месяца назад
Темы: 13 Сообщения: 297 Участник с: 22 января 2013	Да что вы говорите! Вот так прямо запустили и не работает? Угу, я когда только арч ставил нужен был инет который я сделал через rp-pppoe так вот, эта прога выставляла дефолтные правила из которых следовало что весь инпут в лог и дроп. После основательной зачистки всей цепочки и политики интернет появлялся. Запрещать OUTPUT никто не собирается, такое делают только в очень специальных случаях. Дело не в output'e, он тут вообще ни при чем. Пакеты уходят без проблем, ответ от серверов на эти пакеты идет на инпут на рандомный порт и если инпут закрыть конекта не будет, а если открыть то какой порт указать прилететь то может на любой? Откуда вы это взяли? :) да потому что правила антифлуда пишут впервую очередь под conntrack, при том даже не то что бы избавить машину от флуда, а для того чтобы этот флуд в обработку к conntrack не попал, видимо потому что эта штука грузит таки прилично проц. а торренты с онлайн игрушками в этом смысле легализованый софт для DDoS. Для защиты от DDoS в любом случае требуются нетривиальные и небеспроблеммные действия, и даже они не всегда помогают. А вы хотите вообще не изучая предмет и не представляя себе, как работает фильтрация пакетов, на коленке сделать нечто (якобы) непробоваемое. не, я хочу всего лишь чтобы мой ssh запускался после поднятия интерфейса, и останавливался\не запускался в случае отсутствия интерфейса.

white_ghost

# 12 лет, 2 месяца назад

Темы: 13

Сообщения: 297

Участник с: 22 января 2013

Да что вы говорите! Вот так прямо запустили и не работает?

Угу, я когда только арч ставил нужен был инет который я сделал через rp-pppoe так вот, эта прога выставляла дефолтные правила из которых следовало что весь инпут в лог и дроп. После основательной зачистки всей цепочки и политики интернет появлялся.

Запрещать OUTPUT никто не собирается, такое делают только в очень специальных случаях.

Дело не в output'e, он тут вообще ни при чем. Пакеты уходят без проблем, ответ от серверов на эти пакеты идет на инпут на рандомный порт и если инпут закрыть конекта не будет, а если открыть то какой порт указать прилететь то может на любой?

Откуда вы это взяли? :)

да потому что правила антифлуда пишут впервую очередь под conntrack, при том даже не то что бы избавить машину от флуда, а для того чтобы этот флуд в обработку к conntrack не попал, видимо потому что эта штука грузит таки прилично проц. а торренты с онлайн игрушками в этом смысле легализованый софт для DDoS.

Для защиты от DDoS в любом случае требуются нетривиальные и небеспроблеммные действия, и даже они не всегда помогают. А вы хотите вообще не изучая предмет и не представляя себе, как работает фильтрация пакетов, на коленке сделать нечто (якобы) непробоваемое.

не, я хочу всего лишь чтобы мой ssh запускался после поднятия интерфейса, и останавливался\не запускался в случае отсутствия интерфейса.

sleepycat	# 12 лет, 2 месяца назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	[пост обновлен] забейте, я передумал уводить тему в др. русло ))) Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 12 лет, 2 месяца назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

[пост обновлен]
забейте, я передумал уводить тему в др. русло )))