Введение.
Сеть yggdrasil доступна в России для многочисленного среднего класса - бомжей,
наркоманов, правозащитников, гомосексуалов и диссидентов. Но всякий ли из
них знает о дырах в защите, которые предоставляет эта сеть? Запустив yggdrasil вы
открываете все порты на своей машине, даже если она закрыта файрволом где-то
на уровне роутера или провайдера. Вот понятная инструкция по установке
защиты.. Все команды ниже нужно выпулнять от рута.
1. Убираем все правила, если надо. Если не знаете - тоже убираем.
ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -t nat -F
ip6tables -t mangle -F
ip6tables -F
ip6tables -X
2. Устанавливаем защиту от дураков. В данном случае мы оставляем открытыми
только ssh и http порты. Все остальные закрываем.
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -I INPUT 1 -i lo -j ACCEPT
ip6tables -A INPUT -p icmpv6 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
3. Проверяем. Должно показать примерно то же самое, но другими словами.
ip6tables -L
4. Теперь эту конфигурацию нужно сохранить.
ip6tables-save > /etc/ip6tables.conf
5. Готово. Для того, чтобы поднять защиту, сразу после старта системы нужно
выполнить команду
ip6tables-restore < /etc/ip6tables.conf
Заключение
Некоторые системы, например Федора или RH имеют сервис iptables.service,
который стартует при загрузке и устанавливает файрвол по своему усмотрению.
Если вы за НАТом, то это дело можно смело отключить. Можно также дополнить
этот стандартный сервис тем, что я написал выше. Но это уже не для
домохозяек. Важность защиты можно проиллюстировать следующим примером.
Один мой знакомый, известный диссидент и правозащитник через сеть yggdrasil
бросил вызов Владимиру Путину. На том же компьютере он держал детское
порно, базу данных с украденными номерами кредитных карт и телефоны платных
киллеров. Этого человека заблокировали, посадили и изнасиловали бутылкой от
шампанского. Причем донышком, а не так ка вы подумали. Разбирательство
показало, что на его компьютере не был установлен файрвол для ipv6.
Назад|На главную