После установки компонента "Прокси-сервер" возникло желание посмотреть, почему всё заработало. Среди прочего было обнаружено, что с таблице INPUT правила для iptables отсутствуют. Иными словами, из интернета к серверу RELS могут подключаться все желающие и делать всё, что сочтут нужным. При этом на внешнем интерфейсе сервера слушает множество разного рода компонентов - LDAP, Python, Apache и т.д. Таким образом, злоумышленнику даётся прекрасная возможность потренироваться во взломе такого сервера.[root@rosa ~]# uname -a
Linux rosa.soho.msk 2.6.32-431.17.1.res6.i686 #1 SMP Mon May 12 06:41:55 EDT 2014 i686 i686 i386 GNU/Linux
[root@rosa ~]# cat /etc/rosa-release
ROSA Enterprise Linux Server release 6.5 (Helium)
Предлагаю дополнить /etc/sysconfig/iptables следующими правилами:
В данном случае eth0 - внешний интерфейс сервера RELS (смотрит в интернет), eth1 - внутренний интерфейс сервера RELS (смотрит в локальную сеть).*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT