Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2006-07-30 19:30:42
maverick44 - 
Moderator
- maverick44
- Moderator
- Skąd: Częstochowa
- Zarejestrowany: 2005-08-30
- Serwis
Ogniościanka na desktop
Witam!
W tej chwili komputer mam w obcej sieci lokalnej, adminowi nie wierze ze zabezpieczyl dobrze server :) Dlatego postanowilem zrobic sobie firewall'a, w sieci jest jeden komputer zaufany jego ip to: 10.0.0.142, ktoremu chce udostepniac local i ssh, cos takiego wypocilem, waszym zdaniem wystarczy to, czy cos dopisac ?
Kod:
#!/bin/bash
if [ "$1" = "start" ]
then
echo -e "33[36m Start firewall'a"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# nie akceptujemy pakietow "source route" (zmieniaja tablice routingu)
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# nie przyjmujemy pakietow ICMP redirect, ktore moga zmienic nasza tablice ro
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# wlaczamy ochrone przed blednymi pakietami ICMP error
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# ochrona przed spoofingiem - kazdy interfejs sieciowy bedzie przyjmowal
# tylko te pakiety ktore znajduja sie w tablicy routingu
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j REJECT --reje
ct-with host-unreach
iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p udp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp --dport 137:139 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p udp --dport 137:139 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p tcp --dport 137:139 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p udp --dport 137:139 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -s 10.0.0.142 -j ACCEPT
echo -e "33[36m Konfiguracja Firewall'a zakonczona pomyslnie"
exit
fi
if [ "$1" = "stop" ]
then
echo -e "33[36m Wylaczanie Firewall'a"
iptables -F
iptables -t mangle -F
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo -e "33[36m Wylaczanie Firewall'a zakonczone pomyslnie"
exit
fi
Maverick
Gentoo GCC 4.1.1 KDE 3.5.6 Kernel 2.6.17
AMD Sempron 2400+ 512 MB RAM Seagate 160GB
Linux user number: #415965
Offline
#2 2006-07-30 20:21:38
Radek - Użytkownik
- Radek
- Użytkownik
- Skąd: Poniatowa
- Zarejestrowany: 2006-04-02
Re: Ogniościanka na desktop
Tak przy okazji to gdzie można znaleźć (wiem, że na google, ale nie zawsze najlepsze rzeczy są tam w widocznym miejscu) materiały na temat tworzenia własnego firewalla na desktop i ogólnie o netfilerze?
Znany również jako Jabber ;).
Offline
#3 2006-07-31 10:30:57
djinn - Członek DUG
- djinn
- Członek DUG
- Zarejestrowany: 2005-11-12
Re: Ogniościanka na desktop
Tak ogólnie tutaj http://www.debian.one.pl/index.php?url=4 w podanym artylule znajduje się linki do innych artów o netfiler na stronie dug`a tez cos jest :)
Peace
Offline
#4 2006-07-31 12:00:29
Lorenzo - Moderator
- Lorenzo
- Moderator
- Zarejestrowany: 2005-12-23
Re: Ogniościanka na desktop
Tutaj masz małą prezentację o fajerłolach.Przykładowa zapora.
Jeszcze ciekawym pomysłem jest havp - HTTP AntiVirus Proxy. Zainstalowałem to sobie w zeszłym tygodniu i na swojej 400 każde połączenie http ładnie mi skanuje a róznicy w działaniu nie czuje :-) (niestety na routerku 486dx4 100 i 24mega ramu muliło jak diabli :( ).
Offline