Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2006-11-28 03:02:59

  rw30 - Użytkownik

rw30
Użytkownik
Zarejestrowany: 2005-08-10

zadanko do szkoły . . . iptables do napisania . . .

zadanie wygląda tak:


Router/serwer linux:



Interfejs podłączony do internetu:

eth0: 80.80.80.81/255.255.255.252

poprzez router(bridge) o adresie 80.80.80.82



Interfejsy sieci lokalnych:

eth1 192.168.1.126/255.255.255.128 – pracownicy firmy

eth2 192.168.1.254/255.255.255.128 - księgowość + szef



Serwery uruchomione:

-Apache (tylko intranet)

-DHCP

-DNS (caching only)

-SSH





Zadanie:

Napisać w postaci skryptu ustawienia firewalla zapewniające:
1.Dostęp do internetu poprzez NAT dla wszystkich komputerów w sieci
2.Ograniczyć dostęp do internetu dla wszystkich oprócz szefa (192.168.1.200) do połączeń HTTP/HTTPS oraz poczty email
3.Ograniczyć dostęp do internetu dla komputerów księgowości do połączeń HTTP/HTTPS z: ZUS (adresy: 212.244.187.133, 217.96.4.59) oraz bankiem (12.34.56.78)
4.Zablokować możliwość połączenia pomiędzy komputerami księgowości (bez szefa) a komputerami pracowników
5.Jeden z pracowników ma na firmowym komputerze (192.168.1.66) serwer FTP, który należy udostępnić w internecie (na interfejsie 80.80.80.81)
6.Linux ma mieć „na zewnątrz” udostępniony jedynie SSH dla administratora, który loguje się z zewnątrz  wyłącznie z maszyny (88.88.88.88), oraz porty konieczne dla działania serwera DNS.
7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.



Uwaga:

-router nie może blokować ruchu ICMP

-wszystkie zapytania DNS z sieci lokalnych są kierowane do serwera na routerze

-porty wszystkich usług które są zablokowane na zewnątrz mają odpowiadać na pakiety „icmp port unreachable”

-należy użyć jak najmniejszej ilości reguł

niestety nie mam za bardzo gdzie przetestowac tego, co stworzylem . . . jesli ktos ma ochote niech rzuci okiem i ew. poprawi : )


#!/bin/bash

##*********************************************
## zadanie 0 - przygotowania do routowania : )
##*********************************************

#
# wlaczanie forwardowania
#

echo 1>/proc/sys/net/ipv4/ip_forward

#
# czyszczenie
#

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

#
# ustawienie domyslnych akcji . . .
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

##*********************************************
## zadanie 1 - Dostęp do internetu poprzez NAT
##             dla wszystkich komputerów w sieci
##*********************************************

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT



##*********************************************
## zadanie 2a - szef ma dostep wszedzie
##*********************************************

iptables -A FORWARD -s 192.168.1.200/32 -j ACCEPT

##*********************************************
## zadanie 3 - ksiegowosc - tylko http/https 
##    212.244.187.133, 217.96.4.59 oraz 12.34.56.78
##*********************************************



iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p tcp --dport http -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  217.96.4.59  -p tcp  --dport http -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  12.34.56.78 -p tcp  --dport http  -j ACCEPT


iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p tcp --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  217.96.4.59  -p tcp  --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  12.34.56.78 -p tcp  --dport https  -j ACCEPT









iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p udp --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  217.96.4.59  -p udp  --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  12.34.56.78 -p udp  --dport https  -j ACCEPT

##*********************************************
## zadanie 2b - komputery inne niz szefa maja dostep tylko do http/https/e-mail
##jako ze w zadaniu 3 ustalilismy regulki dla ksiegowosci, tu rozpatrujemy tylko siec
##192.168.1.0/25
##*********************************************


iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport http  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport https  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport smtp  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport pop-3  -j ACCEPT



iptables -A FORWARD -s 192.168.1.0/25  -p udp  --dport https  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p udp  --dport pop-3  -j ACCEPT

##*********************************************
##zadanie 4
##  Zablokować możliwość połączenia pomiędzy komputerami
##  księgowości (bez szefa) a komputerami pracowników
##*********************************************


iptables -A FORWARD -s 192.168.1.0/25 -d 192.168.1.128/25 -j DROP
iptables -A FORWARD -d 192.168.1.0/25 -s 192.168.1.128/25 -j DROP


##*********************************************
##zadanie 5
##  Jeden z pracowników ma na firmowym komputerze (192.168.1.66)
##  serwer FTP, który należy udostępnić w internecie (na interfejsie 80.80.80.81 czyli eth0)
##*********************************************


iptables -A PREROUTING -t nat -i eth0  -p tcp --dport 20 -j DNAT --to 192.168.1.66:20
iptables -A PREROUTING -t nat -i eth0  -p tcp --dport 21 -j DNAT --to 192.168.1.66:21



##*********************************************
##zadanie 6
##   Linux ma mieć „na zewnątrz” udostępniony jedynie SSH dla administratora,
##   który loguje się z zewnątrz  wyłącznie z maszyny (88.88.88.88),
##   oraz porty konieczne dla działania serwera DNS.
##*********************************************

iptables -A INPUT -s 88.88.88.88 -p udp --dport ssh -j ACCEPT
iptables -A INPUT -s 88.88.88.88 -p tcp --dport ssh -j ACCEPT

iptables -A INPUT  -p tcp --dport domain -j ACCEPT
iptables -A INPUT  -p udp --dport domain -j ACCEPT

przyznam, ze nie wiem jak poradzic sobie z uwagą o nieblokowaniu ruchu ICMP, takoz z zadaniem 7

poza tym, w zwiazku z uwaga nt. odpowiednich odpowiedzi uslug na zablokowanych portach przydaloby sie ustawic REJECT jako policy dla input ale to chyba nie jest mozliwe

a ogólnie w temacie iptables jestem średnio zorientowany : (


dzieki za ew. pomoc


na szczęście za rogiem jest żubr . . .

Offline

 

#2  2006-11-28 11:17:16

  zielkam - były zielony_83 :)

zielkam
były zielony_83 :)
Skąd: Zawiercie
Zarejestrowany: 2006-05-06
Serwis

Re: zadanko do szkoły . . . iptables do napisania . . .

przede wszystkim spójrz na ten art maska [128] w skróconym zapisie to nie /24


Zostałeś zarejestrowany jako użytkownik #416423 przez.. :mrgreen:
##
FluxboxPL | Mój Lepszy Świat | UnixyPL | Telenia VOIP dla ISP
JID: zielony@jabster.pl

Offline

 

#3  2006-11-28 13:19:41

  rw30 - Użytkownik

rw30
Użytkownik
Zarejestrowany: 2005-08-10

Re: zadanko do szkoły . . . iptables do napisania . . .

przede wszystkim spójrz na ten art maska [128] w skróconym zapisie to nie /24

to wiem, ale w sa tu rzeczy ktore tu odnosza sie do obu pod sieci [czyli i 192.168.1.0 /25 i 192.168.1.128 /25]

wiec robie je niejako dla calej tej sieci 192.168.1.0 / 24 i z tego co sie orientuje to powinno zadzialac


na szczęście za rogiem jest żubr . . .

Offline

 

#4  2006-11-28 20:28:21

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: zadanko do szkoły . . . iptables do napisania . . .

Co do

7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.

- Postawienie servera DHCP by przydzie;al adresy w sieci lokalnej mac+ip
- Statyczna tablica arp plik /etc/ether gdzie wpisujesz pary mac + IP

mysle ze to jest najprosze rozwiazanie oczywiscie jest ono do obejscia ale zawsze cos niz nic

Offline

 

#5  2006-11-28 21:11:17

  mons - Użytkownik

mons
Użytkownik
Zarejestrowany: 2006-06-01

Re: zadanko do szkoły . . . iptables do napisania . . .

Co do

7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.

- Postawienie servera DHCP by przydzie;al adresy w sieci lokalnej mac+ip
- Statyczna tablica arp plik /etc/ether gdzie wpisujesz pary mac + IP

myślę ze to jest najprostsze rozwiązanie oczywiście jest ono do obejscia ale zawsze cos niz nic

iptables tez potrafi przywiązać się do maca...
Ja używam w tym celu takich regułek:

Kod:

#nie mac w ip, drop
iptables -A FORWARD -m mac --mac-source ! 00:40:FF:7F:9F:FD -s 192.168.1.2 -j DROP

Offline

 

#6  2006-11-28 21:21:41

  zielkam - były zielony_83 :)

zielkam
były zielony_83 :)
Skąd: Zawiercie
Zarejestrowany: 2006-05-06
Serwis

Re: zadanko do szkoły . . . iptables do napisania . . .

Uwaga co do zadania nr. 1 w jaki sposób wszystkie komputery będą mieć dostęp do neta skoro dropujesz cały przychodzący ruch


Zostałeś zarejestrowany jako użytkownik #416423 przez.. :mrgreen:
##
FluxboxPL | Mój Lepszy Świat | UnixyPL | Telenia VOIP dla ISP
JID: zielony@jabster.pl

Offline

 

#7  2006-11-28 21:26:28

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: zadanko do szkoły . . . iptables do napisania . . .

ano faktycznie poszlam na latwizne uzylam innej metody niz iptables :]
to chyba z przepracowania czlowiek chodzi nakrecony :]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)