Firewall dla stanowiska ko

dhapollo · Post autor: **dhapollo** » 24 września 2012, 11:45

Witam.
Potrzebuję napisać zaporę dla stanowiska końcowego, tak, aby działał tylko internet i abym miał dostęp do niego przez ssh.

Wymyśliłem sobie taki skrypt:

Kod: Zaznacz cały

#!/bin/sh

#firewall dla [b]użytkownika[/b]


###### Kasujemy wcześniejsze wpisy
iptables -F
iptables -X
###### Blokujemy wszystko
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

###### Pozwalamy na wszystko dla localhost
iptables -A INPUT -i lo -j ACCEPT

###### Akceptujemy połączenia już ustanowione w obu łańcucha[B]ch[/B]  OUTPUT i INPUT:.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

##### Otwieramy porty przychodzące
##      SSH
iptables -A INPUT -p tcp -s 192.168.125.101 --dport 22 -j ACCEPT

##### Otwieramy porty wychodzące


##### blokujemy sygnały ping

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP

Moje pytania to:

Czy skrypt spełni moje oczekiwania?
Dałem:
Kod: Zaznacz cały
```
iptables -P OUTPUT DROP
```
to jak otworzyć porty do www, ponieważ wpis:
Kod: Zaznacz cały
```
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
```
nie za bardzo mi się podoba, ponieważ, akceptuje wszystkie nowe, co za tym idzie pierwsza reguła przestaje mieć sens. Czy dobrze rozumiem?

woitek.d · Post autor: **woitek.d** » 26 września 2012, 17:17

Nie jestem specjalistą ale ja bym to zrobił tak:

Odblokuj port 80, 53, 68 ustawiając opcję OUTPUT.
Odnośnie Twojego ostatniego pytania to, tak, dobrze.
To z wysyłaniem sygnału ping, to chyba można usunąć bo i tak wszystko blokujesz domyślnie.
Na localhost jeszcze chyba musisz ustawić opcję OUTPUT jako accept.

Post autor: **Yampress** » 26 września 2012, 19:55

Kod: Zaznacz cały

iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

do tego dodaj wpuszczanie na wejście (ang. input) portu 22 i powinno działać.

dhapollo · Post autor: **dhapollo** » 27 września 2012, 10:33

Yampress chodzi mi o zablokowanie wyjścia i otwarcie tylko wymaganych portów.

Jakie porty otworzyć aby działały tylko strony www?

Post autor: **Yampress** » 27 września 2012, 14:54

http https.
Ale czemu chcesz zablokować wyjście?

Kod: Zaznacz cały

iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT

Swoje porty wpuszczasz jako INPUT (sshd, http ,https).

dhapollo · Post autor: **dhapollo** » 28 września 2012, 11:38

A dlaczego wyjcie ma być otwarte?

Jak otworze porty 53, 80, 433, 22 to nie mam internetu (nie otwierają się strony www) jaki port/protokół należy otworzyć?

Unit · Post autor: **Unit** » 28 września 2012, 12:28

dhapollo pisze: A dlaczego wyjcie ma być otwarte?

Ponieważ jak się łączysz --dportem 80 to --sport na OUTPUT ustawia się losowo coś między 1024-65536, więc albo musisz mieć OUTPUT na ACCEPT, albo musisz puścić dla OUTPUT --dport, który tam chcesz (22,53,80,443):

Kod: Zaznacz cały

-A INPUT  -p tcp -s 0/0 --sport 22 -j ACCEPT
-A OUTPUT -p tcp -d 0/0 --dport 22 -j ACCEPT

Post autor: **Yampress** » 28 września 2012, 13:48

No właśnie. Tak jak napisał Unit, dlaczego?

Wykonaj sobie polecenie na stacji roboczej:

Kod: Zaznacz cały

netstat -atn

A 43 w jakim celu otwierasz i 53? Na 53 pracuje serwer DNS? Którego nie masz uruchomionego.

Kontynuując, aby wykonać zapytania, robisz to co napisał Unit i korzystasz z pcji OUTPUT i wpuszcza już nawiązane połączenia na wejście (INPUT)

Kod: Zaznacz cały

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Bo te trzy wpisy są ze sobą powiązane.

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

przeanalizuj dlaczego. Co dokładnie robi stan ESTABLISHED,RELATED?

Dodatkowo nauczyłbym się jaka usługa działa na jakim porcie: x<1000?

dhapollo · Post autor: **dhapollo** » 29 września 2012, 00:23

Yampress tak zgadza się port 53 to obsługa DNS, ja nie mam takiej usługi ale przecież korzystam z DNS wpisując http://www.wp.pl zapytanie wędruje do serwra DNS który to zamienia na IP przez co cieszymy się wczytana stroną www. Zablokowanie portu 53 powinno uniemożliwić rozpoznanie nazwy domenowej. Czy dobrze rozumiem?

Z 43 to pomyłka w "druku" miało być 433 chodziło mi o https i już to poprawiam.

Post autor: **Yampress** » 29 września 2012, 10:37

Dalej nie rozumiesz jak to działa.

Za o co napisałeś odpowiada to:

Kod: Zaznacz cały

iptables -P OUTPUT ACCEPT
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Czyli, wypuszcza swobodnie na wyjście (OUTPUT) i wpuszcza wszystkie połączenia na wejście (INPUT) wracające (wychodzące/nawiązane) z wyjścia.

Zamknij ten port 53 i zobaczysz, że nadal to będzie działać (mając te 2 linijki powyżej cytowane). Port 53 otwieramy tylko jeśli mamy uruchomioną usługę DNS.

Podstawy działania sieci tcp/ip też by się przydało poznać.

Firewall dla stanowiska ko

Firewall dla stanowiska końcowego