酷!學園
技術討論區 => Network 討論版 => 主題作者是: kuolung 於 2002-03-20 12:42
-
各位好,我用 linux 做防火牆,後面用 windows 2000 server 加
IIS 5.0 做 WEB SERVER , windows 2000 和 IIS 都只用內定值,
然後 Linux 只開 80 埠轉到 windows 2000 ,我的 windows 照樣被入侵
放一個 index.html 的檔案進去 ,linux 的設定如下
/sbin/iptables -t nat -A PREROUTING -p tcp -d x.x.x.x --dport 80
-j DNAT --to 172.18.y.y:80
請問該怎麼辦才好
-
事實上﹐只要有連線存在﹐就有可能被入侵。
關鍵是被連線的程式﹐本身是否存在漏洞﹐以及漏洞是否能被人發現並利用而已。這與 firewall 沒什麼關係啦。
-
我想你應該是 iis 的漏洞沒有去更新 ..
那個 bug 是用 80 port 入侵的 , 所以雖然你只開放 80 port
還素會中標 , 如果你開的是 81 或 8080 可能還沒問題咧 ..
我有一堆客戶堅持要用 windows 2000 ..
我都會建議他們在灌好及完成整個 2000 的 sp1 , sp2 , sp3 之前
不要把對外的網路線插上去 , 因為幾乎是你還來不及做更新時
後門就被放進去了 , 所以你不是換系統 , 就是安裝完之前不要上網 ..
-
可是這樣做會有一個問題,因為我這台也是 win 2000 的 ad , 您的意思是
先把 default gateway 不放,還是連網路都不接,而且要上server protect
(防毒) , 也要先連內部的網路
-
我的意思是那台機器在完成更新之前是在單機下完成 ..
就素沒有連上任何的網路系統 ..
至於你說有問題的地方應該是更新時要上網 ..
正常 ms 都要人家上網更新 , 不過由於他那個 iis 的 bug 一直到現在
網路上還是隨時都有人在掃 , 就素那個病毒 ...
所以我們都是把所有的 service pack 燒成 cd 片 , 大概 4xx mb 吧 ..
-
MS 出了一個 Security Tool Pack
裡面有針對 IIS 原本預設一堆有機可趁的服務做 shutdown 的動作...
-
我有一個想法,用一台 Linux 做雙向 proxy ,把外面對我的 web server
的連線,也經過這台 proxy ,這樣是不是就比較安全了呢