Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2008-04-30 15:55:31
Preibx - 
Użytkownik
- Preibx
- Użytkownik
- Zarejestrowany: 2006-03-12
Firewall - porządek?
Witam
Przedstawiam do oceny pierwszą część firewall'a.
Na tym etapie chce wyczerpać tematy:
a) maksymalnie możliwe zabezpieczenie serwera z zewnątrz
b) blokada wszystkich możliwych portów
b) rozdzielenie internetu na sieć lokalną na razie tylko i wyłącznie dla portu 80
c) dostęp narazie tylko lokalny do SSH
Proszę o ocenę. Co można poprawić, czego być nie powinno, a może czego brakuje.
Kod:
#!/bin/sh
# Stałe są przykładowe
# Numery IP dla poszczególnych kart sieciowych
ip_wew="192.168.0.1"
# Numery portów
port_www="80"
port_ssh="22"
# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych reguł
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
# Sterowanie ping
# 8 - echo-requst
# 3 - destination-unreachable
# 0 - echo-reply
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
# Akceptujemy polaczenia zainicjowane przez nas
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej,
# -d i -s mają posłużyć małemu zabezpieczeniu
# przed podszywaniem się osób z naszej sieci pod inne adresy ip
iptables -t nat -A POSTROUTING -s $ip_wew/24 -d 0/0 -j MASQUERADE
iptables -A FORWARD -s $ip_wew/24 -j ACCEPT
# Udostępnianie portów
iptables -A INPUT -s 0/0 -p tcp --dport $port_www -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport $port_www -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport $port_ssh -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport $port_ssh -j ACCEPTOffline
#2 2008-04-30 19:13:49
bercik - Moderator Mamut
Re: Firewall - porządek?
1. udostepniasz ssh i www na serwerze dla wszystkich (ostatnia grupa wpisow)
2. udostepniasz wyjscie z sieci na dolowne porty (iptables -A FORWARD -s $ip_wew/24 -j ACCEPT)
3. "iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT" nie jest potrzebne bo wczesniej dajesz "iptables -A INPUT -p icmp -j ACCEPT"
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#3 2008-05-26 13:19:40
Preibx - Użytkownik
- Preibx
- Użytkownik
- Zarejestrowany: 2006-03-12
Re: Firewall - porządek?
Witam ponownie.
Dziękuję za rady. Zastosowałem się do nich.
Oto poprawiony firewall:
Kod:
#!/bin/sh
# Numery IP dla poszczególnych kart sieciowych
ip_wew="xxx.xxx.xxx.xxx"
ip_zew="xxx.xxx.xxx.xxx"
# Numery portów udostępnienia dla sieci lokalnej
port_www="80"
port_ssh="zalecam inny niż 22"
# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych reguł
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
# Sterowanie ping
# 8 - echo-requst
# 3 - destination-unreachable
# 0 - echo-reply
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
# Udostępnianie portów
iptables -A INPUT -s 0/0 -d $ip_wew -p tcp --dport $port_ssh -j ACCEPT
iptables -A INPUT -s 0/0 -d $ip_wew -p udp --dport $port_ssh -j ACCEPT
iptables -A OUTPUT -s 0/0 -d $ip_wew -p tcp --dport $port_ssh -j ACCEPT
iptables -A OUTPUT -s 0/0 -d $ip_wew -p udp --dport $port_ssh -j ACCEPT
# Akceptujemy polaczenia zainicjowane przez nas
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej,
# -d i -s mają posłużyć małemu zabezpieczeniu
# przed podszywaniem się osób z naszej sieci pod inne adresy ip
iptables -t nat -A POSTROUTING -s $ip_wew/24 -d 0/0 -j MASQUERADE
iptables -A FORWARD -s $ip_wew/24 -j ACCEPTPowtórzę założenia firewall’a:
a) nie ograniczony dostęp do Internetu dla sieci lokalnej
b) całkowity brak dostępu jakichkolwiek usług z Internetu
Moje pytania to:
1) Czy w tym przykładzie czegoś brakuje lub jest czegoś za dużo?
2) Czy stosuje odpowiednia kolejność regułek?
3) Dlaczego mimo nie udostępnienia portu 80 lub np. 995 (poczta SSL) użytkownicy z sieci lokalnej mogą korzystać z wszystkich usług?
Czy dobrze rozumiem, że domyślnie wszystkie porty są otwarte dla sieci wewnętrznej?
4) Gdzie w Debianie Etch znajduje się (musze tu użyć odpowiedniej scieżki):
Kod:
my $ipt = '/usr/local/sbin/iptables'; # lokalizacja iptables
5) Jak przerobić skrypt BiExi na pobranie adresu IP do zmiennej:
Kod:
#!/usr/bin/perl
$ip = `ifconfig eth0 | grep "inet addr"` ;
if ($ip =~ /addr:(\d+\.\d+\.\d+\.\d+)/)
{
printf "$1 \n";
} ;Z góry serdecznie dziękuje za pomoc.
Ostatnio edytowany przez Preibx (2008-05-26 13:20:53)
Offline
#4 2008-05-26 13:45:52
Ventrue - Użytkownik
- Ventrue
- Użytkownik
- Skąd: Lubin
- Zarejestrowany: 2007-08-16
Re: Firewall - porządek?
Ad 4:
użyj `whereis iptables` ?
Ad 5:
BiExi napisała w Perlu, a ja napiszę w sh :P
Kod:
#!/bin/bash zmienna_z_adresem_ip=`ifconfig eth0 | grep "inet addr" | cut -d ":" -f 2 | cut -d "B" -f 1` echo "$zmienna_z_adresem_ip"
Reszty nie wiem ;)
Ostatnio edytowany przez Ventrue (2008-05-26 13:47:21)
The Linux philosophy is 'Laugh in the face of danger'. Oops. Wrong One. 'Do it yourself'. Yes, that's it.
Linus Torvalds
Offline
#5 2008-05-26 15:04:28
bercik - Moderator Mamut
Re: Firewall - porządek?
Preibx napisał(-a):
b) rozdzielenie internetu na sieć lokalną na razie tylko i wyłącznie dla portu 80
Preibx napisał(-a):
Powtórzę założenia firewall’a:
a) nie ograniczony dostęp do Internetu dla sieci lokalnej
b) całkowity brak dostępu jakichkolwiek usług z Internetu
to jak w koncu ma byc z tym udostepnianiem netu dla sieci wewnetrznej - tylko www czy bez ograniczen ?
(nadmienie iz obecnie jest bez ograniczen)
Preibx napisał(-a):
3) Dlaczego mimo nie udostępnienia portu 80 lub np. 995 (poczta SSL) użytkownicy z sieci lokalnej mogą korzystać z wszystkich usług?
chodzi o uslugi na lokalnym serwerze czy uslugi w Internecie ?
dziwnie traktujesz ICMP (przyjmujesz pingi, ale nie przyjmujesz odpowiedzi na wysylane przez siebie pingi ?)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#6 2008-05-26 18:20:03
bobycob - Członek z Ramienia
- bobycob
- Członek z Ramienia
- Skąd: Wrocław
- Zarejestrowany: 2007-08-15
Re: Firewall - porządek?
nie prościej zamiast IP użyć nazwy międzymordzia?
zakładając, że:
eth0 = lan
iptables -A INPUT -i eth0 -p udp --dport $port_ssh -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport $port_ssh -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport $port_ssh -j ACCEPT
iptables -t nat -A POSTROUTING -i eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT
wydaje się znacznie prościej :)
-s 0/0 i -d 0/0 - pomija się je aby nie komplikować zapisu - klawka też się oszczędza :)
Ostatnio edytowany przez bobycob (2008-05-26 18:22:04)
Offline