Forum Debian Users Gang

zadanie wygląda tak:

Router/serwer linux:



Interfejs podłączony do internetu:

eth0: 80.80.80.81/255.255.255.252

poprzez router(bridge) o adresie 80.80.80.82



Interfejsy sieci lokalnych:

eth1 192.168.1.126/255.255.255.128 – pracownicy firmy

eth2 192.168.1.254/255.255.255.128 - księgowość + szef



Serwery uruchomione:

-Apache (tylko intranet)

-DHCP

-DNS (caching only)

-SSH





Zadanie:

Napisać w postaci skryptu ustawienia firewalla zapewniające:
1.Dostęp do internetu poprzez NAT dla wszystkich komputerów w sieci
2.Ograniczyć dostęp do internetu dla wszystkich oprócz szefa (192.168.1.200) do połączeń HTTP/HTTPS oraz poczty email
3.Ograniczyć dostęp do internetu dla komputerów księgowości do połączeń HTTP/HTTPS z: ZUS (adresy: 212.244.187.133, 217.96.4.59) oraz bankiem (12.34.56.78)
4.Zablokować możliwość połączenia pomiędzy komputerami księgowości (bez szefa) a komputerami pracowników
5.Jeden z pracowników ma na firmowym komputerze (192.168.1.66) serwer FTP, który należy udostępnić w internecie (na interfejsie 80.80.80.81)
6.Linux ma mieć „na zewnątrz” udostępniony jedynie SSH dla administratora, który loguje się z zewnątrz  wyłącznie z maszyny (88.88.88.88), oraz porty konieczne dla działania serwera DNS.
7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.



Uwaga:

-router nie może blokować ruchu ICMP

-wszystkie zapytania DNS z sieci lokalnych są kierowane do serwera na routerze

-porty wszystkich usług które są zablokowane na zewnątrz mają odpowiadać na pakiety „icmp port unreachable”

-należy użyć jak najmniejszej ilości reguł

niestety nie mam za bardzo gdzie przetestowac tego, co stworzylem . . . jesli ktos ma ochote niech rzuci okiem i ew. poprawi : )

#!/bin/bash

##*********************************************
## zadanie 0 - przygotowania do routowania : )
##*********************************************

#
# wlaczanie forwardowania
#

echo 1>/proc/sys/net/ipv4/ip_forward

#
# czyszczenie
#

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

#
# ustawienie domyslnych akcji . . .
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

##*********************************************
## zadanie 1 - Dostęp do internetu poprzez NAT
##             dla wszystkich komputerów w sieci
##*********************************************

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT



##*********************************************
## zadanie 2a - szef ma dostep wszedzie
##*********************************************

iptables -A FORWARD -s 192.168.1.200/32 -j ACCEPT

##*********************************************
## zadanie 3 - ksiegowosc - tylko http/https 
##    212.244.187.133, 217.96.4.59 oraz 12.34.56.78
##*********************************************



iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p tcp --dport http -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  217.96.4.59  -p tcp  --dport http -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  12.34.56.78 -p tcp  --dport http  -j ACCEPT


iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p tcp --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  217.96.4.59  -p tcp  --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  12.34.56.78 -p tcp  --dport https  -j ACCEPT









iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p udp --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  217.96.4.59  -p udp  --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  12.34.56.78 -p udp  --dport https  -j ACCEPT

##*********************************************
## zadanie 2b - komputery inne niz szefa maja dostep tylko do http/https/e-mail
##jako ze w zadaniu 3 ustalilismy regulki dla ksiegowosci, tu rozpatrujemy tylko siec
##192.168.1.0/25
##*********************************************


iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport http  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport https  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport smtp  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport pop-3  -j ACCEPT



iptables -A FORWARD -s 192.168.1.0/25  -p udp  --dport https  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p udp  --dport pop-3  -j ACCEPT

##*********************************************
##zadanie 4
##  Zablokować możliwość połączenia pomiędzy komputerami
##  księgowości (bez szefa) a komputerami pracowników
##*********************************************


iptables -A FORWARD -s 192.168.1.0/25 -d 192.168.1.128/25 -j DROP
iptables -A FORWARD -d 192.168.1.0/25 -s 192.168.1.128/25 -j DROP


##*********************************************
##zadanie 5
##  Jeden z pracowników ma na firmowym komputerze (192.168.1.66)
##  serwer FTP, który należy udostępnić w internecie (na interfejsie 80.80.80.81 czyli eth0)
##*********************************************


iptables -A PREROUTING -t nat -i eth0  -p tcp --dport 20 -j DNAT --to 192.168.1.66:20
iptables -A PREROUTING -t nat -i eth0  -p tcp --dport 21 -j DNAT --to 192.168.1.66:21



##*********************************************
##zadanie 6
##   Linux ma mieć „na zewnątrz” udostępniony jedynie SSH dla administratora,
##   który loguje się z zewnątrz  wyłącznie z maszyny (88.88.88.88),
##   oraz porty konieczne dla działania serwera DNS.
##*********************************************

iptables -A INPUT -s 88.88.88.88 -p udp --dport ssh -j ACCEPT
iptables -A INPUT -s 88.88.88.88 -p tcp --dport ssh -j ACCEPT

iptables -A INPUT  -p tcp --dport domain -j ACCEPT
iptables -A INPUT  -p udp --dport domain -j ACCEPT

przyznam, ze nie wiem jak poradzic sobie z uwagą o nieblokowaniu ruchu ICMP, takoz z zadaniem 7

poza tym, w zwiazku z uwaga nt. odpowiednich odpowiedzi uslug na zablokowanych portach przydaloby sie ustawic REJECT jako policy dla input ale to chyba nie jest mozliwe

a ogólnie w temacie iptables jestem średnio zorientowany : (


dzieki za ew. pomoc