Instalacja i konfiguracja iptables

[nieobecny]

Witam, instalując drugi system, czyli czysta wersja systemu bez środowiska graficznego jest opcja czy zainstalować iptables czy nie. I tu mam pytanie. Jeśli nie zaznaczę iptables podczas instalacji pakietów, to jak potem zainstaluje iptables, to będę mógł przekopiować całą konfigurację iptables z innego systemu np z tego co jest jako live cd i jak to zrobić?

Oraz jak sprawdzić czy iptables jest dobrze skonfigurowany i czy jest dodany do startu wraz systemem i jak nie to jak go dodać?
Z góry dziękuję za odpowiedź.

[fnmirk]

A jakbyś tak trochę na forum poszukał? W zainstalowanym systemie też nie zaszkodzi.

Kod: Zaznacz cały

apt-cache search iptables
apt-cache policy iptables
man iptables

http://debian.linux.pl/viewtopic.php?p=102211#102211

[ketchup]

Oraz jak sprawdzić czy iptables jest dobrze skonfigurowany i czy jest dodany do startu wraz systemem i jak nie to jak go dodać?

Na forum jest kilka plików konfiguracyjnych więc najlepiej jeden skopiować do /etc/init.d,
nazwać jak chcesz, może być firewall.sh
Potem zainstalować piękne narzędzie do sprawdzenie co startuje podczas uruchamiania sysvconfig i nim włączyć uruchamianie firewall.sh
A czy dobrze skonfigurowany to:

Kod: Zaznacz cały

iptables -L

Co do skopiowania, to jeśli miałeś tam czysty iptables bez nakładek powinno pójść.

[nieobecny]

ketchup iptables mi działa tylko mam problem z kilkoma portami. A mianowicie chcę je zamknąć , lecz polecenia:

Kod: Zaznacz cały

iptables -I INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p TCP --dport 443 -j DROP
iptables -I FORWARD -p tcp --dport 443 -j DROP

Nie zamykają portu tylko pisze :

Kod: Zaznacz cały

PORT    STATE    SERVICE
443/tcp  filtered 

Więc jest tylko filtrowany a nie całkowicie zamknięty?

[ketchup]

iptables -I INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p TCP --dport 443 -j DROP

Dodaje na koncy lub w srodku lancucha - w uproszczeniu, to samo dopisane w roznych miejscach
iptables -A INPUT -p tcp --dport 433 -j DROP - zamyka port na polaczenia przychodzace
Jesli masz reguly. Wyjsc na tym porcie i nawiazac polaczenie mozesz.
Nie znam wszystkich regul Twojego iptables , dlatego moge napisac tylko ogolna madrosc: pier wszystko zamykamy pote otwieramy tylko to co potrzebujemy . Wedlug tej zasady nie powinna byc problemow z zamykaniem portow.

[nieobecny]

iptables -I INPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p TCP --dport 443 -j DROP

Dodaje na koncy lub w srodku lancucha - w uproszczeniu, to samo dopisane w roznych miejscach
iptables -A INPUT -p tcp --dport 433 -j DROP - zamyka port na polaczenia przychodzace
Jesli masz reguly. Wyjsc na tym porcie i nawiazac polaczenie mozesz.

To znaczy z konsoli mi nie zamknie tak? Muszę to dopisać do pliku w/etc tak?
A znasz może jakąś stronę abym mógł sobie zewnętrznie przeskanować porty? Znalazłem tą ale to chyba do Windowsa jest program

Kod: Zaznacz cały

http://grc.com

[KeFaS]

http://nmap-online.com

[nieobecny]

http://nmap-online.com

Dzięki, ale z czego mam wpisać hasło tam pod adresem e-mail?

Oraz nie mogę znaleźć pliku konfiguracyjnego iptables .Mam zainstalowany Firestarter i nie wiem gdzie dodać reguły. Bo w pliku /etc/init.d/firewall nic nie ma ?

[KeFaS]

Chyba wymyślasz sobie własne hasło i potem jak na maila Ci coś przychodzi to musisz je podać, żeby dostać wyniki skanu. Ale nie jestem pewny, bo nigdy z tego skanera online nie korzystałem.

Oraz nie mogę znaleźć pliku konfiguracyjnego iptables .Mam zainstalowany Firestarter i nie wiem gdzie dodać reguły. Bo w pliku /etc/init.d/firewall nic nie ma ?

To go utwórz i wpisz tam własne reguły lub je "wygeneruj" za pomocą tego programu.

[nieobecny]

To go utwórz i wpisz tam własne reguły lub je "wygeneruj" za pomocą tego programu.

W pliku /etc/init.d/firestarter jest taki wpis:

Kod: Zaznacz cały

#!/bin/sh
#
# Init file for the Firestarter firewall
#
# chkconfig: 2345 11 92
#
# description: Starts, stops, and lock the firewall
#
# Script Authors:
#	Tomas Junnonen <majix@sci.fi>
#	Paul Drain <pd@cipherfunk.org>
#
# config: /etc/firestarter/configuration
#
### BEGIN INIT INFO
# Provides:          firestarter
# Required-Start:    $syslog
# Required-Stop:     $syslog
# Should-Start:      $local_fs $network
# Should-Stop:       $local_fs $network
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start firewall
# Description:       Run firestarter-configured firewall script.
### END INIT INFO

. /lib/lsb/init-functions

FS_CONTROL="/etc/firestarter/firestarter.sh"

[ -x /usr/sbin/firestarter ] || exit 0
[ -x $FS_CONTROL ] || exit 0
[ -s /etc/firestarter/configuration ] || exit 0

RETVAL=0

start() {
	log_begin_msg "Starting the Firestarter firewall..."
	$FS_CONTROL start > /dev/null
	RETVAL=$?
	if [ $RETVAL -eq 0 ]]; then
		log_end_msg 0
	else
		log_end_msg 1
	fi
	return $RETVAL
}

lock() {
	log_begin_msg "Locking the Firestarter firewall..."
	$FS_CONTROL lock > /dev/null
	RETVAL=$?
	if [ $RETVAL -eq 0 ]; then
		log_end_msg 0
	else
		log_end_msg 1
	fi
	return $RETVAL
}

# See how we were called.
case "$1" in
  start)
	start
	RETVAL=$?
	;;
  stop)
	stop
	RETVAL=$?
	;;
  restart)
	stop
	start
	RETVAL=$?
	;;
  force-reload)
	stop
	start
	RETVAL=$?
	;;
  lock)
	lock
	RETVAL=$?
	;;
  status)
	if [ -e /var/lock/subsys/firestarter -o -e /var/lock/firestarter ]; then
		log_warning_msg "Firestarter is running..."
	else
		log_warning_msg "Firestarter is stopped"
	fi
	RETVAL=$?
	;;
  *)
	log_success_msg "Usage: firestarter {start|stop|restart|force-reload|lock|status}"
	exit 1
esac
exit $RETVAL

Ale nie wiem czy do niego mam dodać, i w którym miejscu oraz jaką konkretnie regułę aby zamknąć dany port?
Czy tą:

Kod: Zaznacz cały

iptables -A INPUT -p tcp --dport port -j DROP

Szkoda, że nie ma jakiegoś FAQ jak dodawać reguły i zmykać porty.