Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2006-07-30 19:30:42

  maverick44 - Moderator

maverick44
Moderator
Skąd: Częstochowa
Zarejestrowany: 2005-08-30
Serwis

Ogniościanka na desktop

Witam!
W tej chwili komputer mam w obcej sieci lokalnej, adminowi nie wierze ze zabezpieczyl dobrze server :) Dlatego postanowilem zrobic sobie firewall'a, w sieci jest jeden komputer zaufany jego ip to: 10.0.0.142, ktoremu chce udostepniac local i ssh, cos takiego wypocilem, waszym zdaniem wystarczy to, czy cos dopisac ?

Kod:

#!/bin/bash

if [ "$1" = "start" ]
then
 echo -e "33[36m Start firewall'a"
 
 echo 1 > /proc/sys/net/ipv4/ip_forward

 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts                      
                                                                              
 # nie akceptujemy pakietow "source route" (zmieniaja tablice routingu)       
  echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route                     
 # nie przyjmujemy pakietow ICMP redirect, ktore moga zmienic nasza tablice ro
  echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects                        
 # wlaczamy ochrone przed blednymi pakietami ICMP error                       
  echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses                
 # ochrona przed spoofingiem - kazdy interfejs sieciowy bedzie przyjmowal      
 # tylko te pakiety ktore znajduja sie w tablicy routingu                     
  echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter                               
 # wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
  echo 1 > /proc/sys/net/ipv4/conf/all/log_martians 

 
    iptables -F
    iptables -X
    iptables -t nat -X
    iptables -t nat -F
    iptables -t mangle -F
 
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
 
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A FORWARD -o lo -j ACCEPT
 
    iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j REJECT --reje
ct-with host-unreach

    iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT
    iptables -A INPUT -p udp --dport 1024:65535 -j ACCEPT

    iptables -A INPUT -p tcp --dport 137:139 -s 10.0.0.142 -j ACCEPT
    iptables -A INPUT -p udp --dport 137:139 -s 10.0.0.142 -j ACCEPT
  
    iptables -A INPUT -p tcp --dport 137:139 -s 10.0.0.142 -j ACCEPT
    iptables -A INPUT -p udp --dport 137:139 -s 10.0.0.142 -j ACCEPT

    iptables -A INPUT -p tcp --dport 22 -s 10.0.0.142 -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -s 10.0.0.142 -j ACCEPT

 echo -e "33[36m Konfiguracja Firewall'a zakonczona pomyslnie"

exit
fi

if [ "$1" = "stop" ]
then
 echo -e "33[36m Wylaczanie Firewall'a"

 iptables -F                                                                  
 iptables -t mangle -F                                                        
 iptables -P FORWARD ACCEPT                                                   
 iptables -P INPUT ACCEPT                                                     
 iptables -P OUTPUT ACCEPT

 echo -e "33[36m Wylaczanie Firewall'a zakonczone pomyslnie"
exit
fi

Maverick
Gentoo GCC 4.1.1 KDE 3.5.6 Kernel 2.6.17
AMD Sempron 2400+ 512 MB RAM Seagate 160GB
Linux user number: #415965
http://www.gohome.org/debian_logo_06.gif http://maluch.pcz.pl/~maverick/images/logo_gentoo.png

Offline

 

#2  2006-07-30 20:21:38

  Radek - Użytkownik

Radek
Użytkownik
Skąd: Poniatowa
Zarejestrowany: 2006-04-02

Re: Ogniościanka na desktop

Tak przy okazji to gdzie można znaleźć (wiem, że na google, ale nie zawsze najlepsze rzeczy są tam w widocznym miejscu) materiały na temat tworzenia własnego firewalla na desktop i ogólnie o netfilerze?


Znany również jako Jabber ;).

Offline

 

#3  2006-07-31 10:30:57

  djinn - Członek DUG

djinn
Członek DUG
Zarejestrowany: 2005-11-12

Re: Ogniościanka na desktop

Tak ogólnie tutaj http://www.debian.one.pl/index.php?url=4 w podanym artylule znajduje się linki do innych artów o netfiler na stronie dug`a tez cos jest :)


Peace

Offline

 

#4  2006-07-31 12:00:29

  Lorenzo - Moderator

Lorenzo
Moderator
Zarejestrowany: 2005-12-23

Re: Ogniościanka na desktop

Tutaj masz małą prezentację o fajerłolach.Przykładowa zapora.

Jeszcze ciekawym pomysłem jest havp - HTTP AntiVirus Proxy. Zainstalowałem to sobie w zeszłym tygodniu i na swojej 400 każde połączenie http ładnie mi skanuje a róznicy w działaniu nie czuje :-) (niestety na routerku 486dx4 100 i 24mega ramu muliło jak diabli :( ).

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)