Forum Debian Users Gang

Preibx · 2006-04-04 10:06:54

Witam.
Wracam do tematu mojego firewalla. Debian Sarge 3.1 jądro 2.8.2
Oto początkowe założenia jakie chce spełnić mam nadzieje z Waszą pomocą
1) maksimum bezpieczeństwa
2) maksimum prostoty
3) absolutnie konieczne komendy
4) firewall stoi na stałym IP (serwer)
Co ma robić na początek firewall:
a) chronić całą sieć lokalną
b) chronić dostęp do serwera
c) na serwerze są zasoby samba z których mają korzystać komputery w sieci lokalnej
d) udostępniać Internet w sieci lokalnej (www, ftp, smtp, pop3)
I to na razie wszystko.
Proszę sprawdzić moją konfigurację i ocenić. Z góry bardzo dziękuje za wszystkie konstruktywne porady.

Kod:

#!/bin/sh

# wlaczenie w kernel'u forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward

# czyszczenie starych reguł
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# puszczamy PING
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT

# udostępnienie SAMBY w sieci lokalnej

iptables -A INPUT -s 192.168.2.0/24 -p udp --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -p udp --dport 138 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -p tcp --dport 445 -m state --state NEW -j ACCEPT

ba10 · 2006-04-04 10:40:38

Co do bezpieczeństwa to np. :

Kod:

#blokada ipspoofing
echo "1" >/proc/sys/net/ipv4//conf/all/rp_filter
#ochrona przed atakami syn cokkies
echo "1" >/proc/sys/net/ipv4/tcp_syncookies
#brak reakcji na fałszywe komunikaty o błedach
echo "1" >/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#ochrona przed atakami smurf
echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Preibx · 2006-04-04 15:07:38

Dziękuje. Za rady. Czy coś można jeszcze uprościć w tym firewallu??

BiExi · 2006-04-04 20:36:13

nie tego nie da sie juz bardziej uproscic

korbol · 2006-04-04 20:47:22

A FORWARD'a nie moznaby wywalić i domyslnie bylby n a ACCEPT.
Pytam z ciekawości.

BiExi · 2006-04-04 20:48:35

no niby mozna ale po co?

pekape · 2006-04-04 20:53:08

Czy zalecacie coś jeszcze do uruchomienia przy ładowaniu Firewalla?

BiExi · 2006-04-04 20:54:53

narazie nie to Ci powinnowystarczyc

pekape · 2006-04-05 06:18:14

Dzięki dobrodziejko :)

oress · 2006-04-18 11:39:29

co do pinga to lepiej bedzie tak:

Kod:

iptables -A INPUT -p icmp -s 0/0 -m limit --limit 3/s --limit-burst 4 -j ACCEPT

Forum Debian Users Gang

Ogłoszenie

#1 2006-04-04 10:06:54

Preibx - Użytkownik

Iptables - ocena

Kod:

#2 2006-04-04 10:40:38

ba10 - Członek DUG

Re: Iptables - ocena

Kod:

#3 2006-04-04 15:07:38

Preibx - Użytkownik

Re: Iptables - ocena

#4 2006-04-04 20:36:13

BiExi - matka przelozona

Re: Iptables - ocena

#5 2006-04-04 20:47:22

korbol - Członek DUG

Re: Iptables - ocena

#6 2006-04-04 20:48:35

BiExi - matka przelozona

Re: Iptables - ocena

#7 2006-04-04 20:53:08

pekape - Użytkownik

Re: Iptables - ocena

#8 2006-04-04 20:54:53

BiExi - matka przelozona

Re: Iptables - ocena

#9 2006-04-05 06:18:14

pekape - Użytkownik

Re: Iptables - ocena

#10 2006-04-18 11:39:29

oress - Użytkownik

Re: Iptables - ocena

Kod:

Stopka forum