Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2012-07-06 18:13:56

  d4n - Nowy użytkownik

d4n
Nowy użytkownik
Zarejestrowany: 2012-07-05

Firewall tworzenie.

Witam niedawno przesiadłem się z FreeBSD na Debiana. Doszedłem do etapu, że trzeba by napisać jakiegoś firewalla, w BSD korzystałem z PF-a dosyć przyjemnie się go tworzyło. W Debianie pojawił się netfilter/iptables posiedziałem poczytałem kilka tutoriali, ale mam pytania na które znalazłem odpowiedzi, ale nie jestem usatysfakcjonowany. Dodam, że serwer jest postawiony na wirtualnej maszynie w domu dla celów edukacyjnych.

1. Firewall na serwer z hostingiem usług www,ftp,ssh,mumble chodzi mi raczej o kwestie bezpieczeństwa bo przejrzałem kilka gotowców, i na początku jest blokowanie przed nmap-em, dos np.

Kod:

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix "ACK scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP # Metoda ACK (nmap -sA)

Nie mogę w tym zrozumieć skąd biorą się w takiej kolejności flagi "SYN,RST,ACK,FIN,URG,PSH ACK"

2. Jeśli mam standardowy kernel (nie kompilowałem) czy nakładać patche na niego aby działał firewall i czy taki kernel można postawić w środowisku produkcyjnym. Jeśli trzeba kompilować to jakie patche użyć, trzymamy się usług hostingowych bez podziału internetu.

3. Pisząc Firewalla czy wykorzystuje się HTB lub inny algorytm kolejkowania na hostingu aby np. serwer głosowy nie zjadł pasma dla ftp.

4. Czy jest jakiś opis modułów kernela (w sensie lista) za co dany odpowiada, chodzi mi tu o sieć.

5. Może za jakiś czas spróbuje stworzyć Firewall z podziałem internetu, kernel do kompilacji będzie jakich patchy zazwyczaj się używa, czy są jakieś gotowce, podział pasma rozumiem że najlepiej jest rozwiązać na HTB.

Mam nadzieje że zawile nie napisałem.
Dziękuje za odpowiedź

Offline

 

#2  2012-07-06 20:23:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Firewall tworzenie.

Opis iptables masz tutaj:
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter

Przy czym iptables steruje firewallem, może też oznaczać pakiety dla innych filtrów.
Nie zarządza natomiast pasmem.

Do zarządzania pasmem jest pakiet iproute i polecenie tc.

Tu masz stary, ale dokladny i kompleksowy poradnik, opisujący możliwości Linuxa w tym zakresie:
www.przybytek.net/download/2.4routing.pdf

Co do standardowego kernela, to ma wszystko co potrzeba do normalnego firewalla, można też doinstalować xtables-addons - z paroma fajnymi modułami,
Ma też wsparcie do ipseta - który pozwala robić w pamięci tablice z tysiacami adresów IP, sieci czy macadresów dla iptables.
Jedyne moduły, do ktorych trzeba kompilować jajko i iptables, to IMQ i Layer7, ale te przydają się raczej na routerach, niż na serwerze www.

Jesli jednak potrzebujesz takiego poziomu bezpieczeństwa, jak w OpenBSD (czy podobnego), to radzę się zainteresowac Grsecurity i Paxem.
Zewn łatka, kompilacja raczej człowieka nie minie, ale moim zdaniem warto.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-07-06 20:28:53)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2012-07-06 20:29:09

  Piotr3ks - Też człowiek :-)

Piotr3ks
Też człowiek :-)
Zarejestrowany: 2007-06-24

Re: Firewall tworzenie.

Do zarządzania pasmem to jeszcze :
http://stary.dug.net.pl/texty/htb.pdf

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)