Napisałem z pomocą internetu konfig, który ciężko ale chodzi. Jako ostatni element dodałem do niego blokadę skanowania. Teraz podczas startu zapory nie mogę zalogować się na ssh?
Drugi problem jaki posiadam dotyczy błędnego logowania komunikatów wysyłanych prze iptables. Konfigurację sysloga-ng przeprowadziłem prawidłowo co potwierdza się w dziennikach, jednak kiedy odchaszuję blokadę skanowania cały ruch przechodzi mi do jednego pliku (kiedy jest zachaszowana, dzienniki dzielą się prawidłowo)?
Czy ktoś mógłby mi pomóc? Bardzo mi zależy na uruchomieniu tej zapory.
Bardzo proszę o pomoc. Pozdrawiam Michał
Kod: Zaznacz cały
#!/bin/bash
#
# USTAWIENIA POCZATKOWE
#
# PRZYPISANIE ZMIENNEJ ORAZ SCIEZKI DO PLIKU
IPT=/sbin/iptables
#
# PRZYPISANIE ZMIENNEJ ORAZ SCIEZKI DO PLIKU
MODPROBE=/sbin/modprobe
#
# PRZYPISANIE ZMIENNEJ ORAZ SCIEZKI DO PROGRAMU ECHO
ECHO=/bin/echo
#
echo "#"
echo "# KONFIGURACJA ZAPORY SIECIOWEJ ROZPOCZETA ..."
echo "#"
echo "#"
echo "# CZYSZCZENIE £ANCUCHOW Z POPRZEDNICH REGUL"
iptables -t filter -F INPUT
iptables -t filter -F FORWARD
iptables -t filter -F OUTPUT
#
echo "# LADOWANIE MODULU SLEDZENIA POLACZEN"
$MODPROBE ip_conntrack
#
echo "#"
echo "######### PRZETWARZANIE REGU£ BEZPIECZENSTWA: "
echo "#"
#
echo "# USTAWIENIE DOMYSLNEJ POLITYKI"
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#
echo "# IGNOROWANIE PAKIETOW ICMP"
#$ECHO 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#$ECHO 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#
echo "# IGNOROWANIE ICMP REDIRECT"
$ECHO 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
#
echo "# IGNOROWANIE FALSZYWYCH KOMUNIKATOW O BLEDACH"
$ECHO 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#
echo "# IGNOROWANIE PAKIETOW SOURCE ROUTE"
$ECHO 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
#
echo "# WLACZENIE OCHRONY PRZED SPOOFINGIEM"
$ECHO 1 > /proc/sys/net/ipv4/conf/all/rp_filter
#
echo "# WLACZENIE OCHRONY PRZED SYN COOKIES"
$ECHO 1 >/proc/sys/net/ipv4/tcp_syncookies
#
echo "# LOGOWANIE W/W PAKIETOW"
$ECHO 1 > /proc/sys/net/ipv4/conf/all/log_martians
#
echo "# URUCHAMIANIE BLOKADY SKANOWANIA PORTOW"
# Skanowanie SYN (nmap -sS)
#iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j LOG --log-prefix "proba skanowania: "
#iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
#
# Metoda ACK (nmap -sA)
#iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix "proba skanowania: "
#iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
#
# Skanowanie FIN (nmap -sF)
#iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j LOG --log-prefix "proba skanowania: "
#iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
#
# Metoda Xmas Tree (nmap -sX)
#iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j LOG --log-prefix "proba skanowania: "
#iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
#
# Skanowanie Null (nmap -sN)
#iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j LOG --log-prefix "proba skanowania: "
#iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP
#
echo "# IGNOROWANIE PAKIETOW Z BLEDNIE USTAWIONYMI FLAGAMI"
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "bledne pakiety: "
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "bledne pakiety: "
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "bledne pakiety: "
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j LOG --log-prefix "bledne pakiety: "
$IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j LOG --log-prefix "bledne pakiety: "
$IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
$IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j LOG --log-prefix "bledne pakiety: "
$IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
$IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j LOG --log-prefix "bledne pakiety: "
$IPT -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
#
echo "#"
echo "######### POLACZENIA: "
echo "#"
#
echo "# LOGOWANIE RUCHU PRZYCHODZACEGO NA PORT 80"
$IPT -A INPUT -p tcp --dport 80 -j LOG --log-prefix "www: "
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
#
echo "# SWOBODNY PRZEPLYW INFORMACJI NA INTERFEJSIE LOKALNYM"
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
#
echo "# NAWIAZANE POLACZENIA"
$IPT -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
#
echo "# LOGOWANIE PRZEZ SSH Z WYBRANEGO IP"
$IPT -A INPUT -p tcp -s 192.168.1.103 --dport 22 -m state --state NEW -j LOG --log-prefix "ssh: "
$IPT -A INPUT -p tcp -s 192.168.1.103 --dport 22 -m state --state NEW -j ACCEPT
#
#echo "# OTWARCIE PORTU DLA USLUGI HTTPS"
#$IPT -A INPUT -p tcp --dport 443 -j ACCEPT
#$IPT -A INPUT -p udp --dport 443 -j ACCEPT
#
echo "# KASOWANIE ZMIENNYCH"
#
echo "#"
echo "# KONFIGURACJA ZAPORY SIECIOWEJ ZAKOÑCZONA"
unset IPT ECHO