Freesco, NND, CDN, EOS :: Wyświetl temat - Firma, INTERNET - ograniczenia (firewall - iptables)

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Firma, INTERNET - ograniczenia (firewall - iptables) http://forum.freesco.pl/viewtopic.php?f=22&t=11730	Strona 1 z 1

Autor:	kozi999 [ niedziela, 19 marca 2006, 16:01 ]
Tytuł:	Firma, INTERNET - ograniczenia (firewall - iptables)
Witam serdecznie ... z gory dzieki za odpowiedzi typu znajdz przycisk SZUKAJ czy podobne .... troche czytalem o iptables ale dalej uwazam, ze nic o nim nie wiem Jest sobie FIRMA X - Internet - eth0 Lan - eth1 Internet ma byc w pewien sposob ograniczony w nastepujacy sposob : USŁUGI uruchomione na serwerze: - FTP port 20 TCP na ZEW. i WEW. - FTP port 21 TCP na ZEW. i WEW. - SSH port 22 TCP na ZEW. i WEW. - POCZTA port 25 TCP na ZEW. i WEW. - DNS port 53 TCP UDP WEW. - WWW port 80 TCP na ZEW. i WEW. - POCZTA port 110 TCP UDP na ZEW. i WEW. - SAMBA port 137 TCP UDP WEW. - SAMBA port 138 TCP UDP WEW. - SAMBA port 139 TCP UDP WEW. - SQUID port 3128 TCP WEW. PORT 80 TCP przekierowany na 3128 TCP na serwerze (PROXY) PORTY otwarte dla końcówek (wyjscie) : - FTP port 20 TCP GLOBALNY - FTP port 21 TCP GLOBALNY - SSH port 22 TCP GLOBALNY - POCZTA port 25 TCP TYLKO W LAN !!! - DNS port 53 TCP UDP TYLKO W LAN !!! - WWW port 80 TCP przekierowany na 3128 (PROXY) - POCZTA port 110 TCP UDP TYLKO W LAN !!! - SAMBA port 137 TCP UDP TYLKO W LAN !!! - SAMBA port 138 TCP UDP TYLKO W LAN !!! - SAMBA port 139 TCP UDP TYLKO W LAN !!! - HTTPS port 443 TCP GLOBALNY RESZTA PORTOW - DROP !!! I teraz jesli ktos bylby tak mily i pomogl mi w napisaniu stosownego firewalla.... Serdecznie dziekuje osoba ktora znajda chwile czasu i cos w tej sprawie pomoga ... Pozdrawiam. PS. Czyli domyslnie w firewallu jest wszystko na DROP bo jakos nie zauwazylem tego wpisu .... czyli FORWARD globalny usunac i dodac po koleji regulki ..... jeszcze jakies podpowiedzi ?

Autor:	tasiorek [ niedziela, 19 marca 2006, 16:15 ]
Tytuł:
Usun linie (nad maskarada): $i -A FORWARD -i ! $EXTIF -j ACCEPT i dodaj do firewalla reguly zezwalajace na FORWARD tych portow, ktore napisales. Podstawy iptables masz tu: http://szluug.org/pliki/wyklady/2004/28 ... filter.pdf Jak liczysz na gotowca, to licz dalej.

Autor:	TheL [ niedziela, 19 marca 2006, 16:52 ]
Tytuł:
tasiorek - matematyka jest krolowa nauk kozi999 - chyba liczysz sie z tym ze jednak ktos musialby sobie posiedziec nad tym a dlaczego masz to nie byc Ty ?zobacz najpierw jak jest zbudowany jakis firewall a pozniej wg opisu regulek zrob sobie go sam, to wbrew pozorom na jedno lacze jest banalnie proste.

Autor:	kozi999 [ wtorek, 21 marca 2006, 02:30 ]
Tytuł:	no to troche posiedzialem i ....
# Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006 filter :INPUT DROP [37:4958] :FORWARD DROP [0:0] :OUTPUT DROP [26:12348] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m multiport --dports 135,445 -j DROP -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable -A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 137 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 138 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 138 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 139 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT -A INPUT -p tcp -m multiport --dports 1550,8074 -j DROP -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j DROP -A FORWARD -o lo -j ACCEPT -A FORWARD -p tcp -m multiport --dports 135,445 -j DROP -A FORWARD -i ! eth0 -p tcp -m tcp --dport 20 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -i ! eth0 -d XXX.XXX.XXX.XXX -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -i ! eth0 -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -i ! eth0 -d XXX.XXX.XXX.XXX -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -p tcp -m ipp2p --kazaa --gnu --edk --dc --bit --apple --soul --winmx --ares -j DROP -A FORWARD -d 193.17.41.48/255.255.255.248 -j DROP -A FORWARD -d 212.77.100.16/255.255.255.248 -j DROP -A FORWARD -d 85.232.233.10 -j DROP -A FORWARD -d 217.17.41.82 -j DROP -A FORWARD -d 217.17.41.83 -j DROP -A FORWARD -d 217.17.41.84 -j DROP -A FORWARD -d 217.17.41.85 -j DROP -A FORWARD -d 217.17.41.86 -j DROP -A FORWARD -d 217.17.41.87 -j DROP -A FORWARD -d 217.17.41.88 -j DROP -A FORWARD -d 217.17.41.92 -j DROP -A FORWARD -d 217.17.41.93 -j DROP -A FORWARD -d 217.17.41.133 -j DROP -A FORWARD -d 217.17.41.138 -j DROP -A FORWARD -d 217.17.41.139 -j DROP -A FORWARD -d 217.17.41.142 -j DROP -A FORWARD -d 217.17.45.143 -j DROP -A FORWARD -p tcp -m multiport --dports 1550,8074 -j DROP -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -j DROP -A OUTPUT -j ACCEPT COMMIT # Completed on Mon Mar 20 23:38:30 2006 # Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006 mangle REROUTING ACCEPT [4350:745384] :INPUT ACCEPT [2623:218585] :FORWARD ACCEPT [1725:526679] :OUTPUT ACCEPT [2311:741428] OSTROUTING ACCEPT [3993:1250239] -A POSTROUTING -o eth1 -j TTL --ttl-set 1 COMMIT # Completed on Mon Mar 20 23:38:30 2006 # Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006 *nat REROUTING ACCEPT [160:20217] OSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Mon Mar 20 23:38:30 2006 I Teraz : czaty i inne pierdolki nie dzialaja - OK poczte wysylac i odbierac mozna tylko z jedngo adresu IP - OK P2P prawdopodobnie OFF ( emule nie laczy ) - OK DZIALA - FTP,SSH,POCZTA,WWW,HTTPS Mam problem z GG - po dopisaniu tego wszystkiego nadal laczy ... widze ze polaczenai chodza tez po 443 ale jak wiadomo jest to https ... jak w inny sposob wylaczyc GG ?? WSZELKIE UWAGI mile widziane Pozdrawiam

Autor:	zciech [ wtorek, 21 marca 2006, 12:14 ]
Tytuł:
Zablokowac adresy serwerow GG.

Autor:	kozi999 [ wtorek, 21 marca 2006, 12:49 ]
Tytuł:
Patrzac na wasze firewall podejrzewam ze akurat te linie sa za to odpowiedzialne : -A FORWARD -d 193.17.41.48/255.255.255.248 -j DROP -A FORWARD -d 212.77.100.16/255.255.255.248 -j DROP -A FORWARD -d 85.232.233.10 -j DROP -A FORWARD -d 217.17.41.82 -j DROP -A FORWARD -d 217.17.41.83 -j DROP -A FORWARD -d 217.17.41.84 -j DROP -A FORWARD -d 217.17.41.85 -j DROP -A FORWARD -d 217.17.41.86 -j DROP -A FORWARD -d 217.17.41.87 -j DROP -A FORWARD -d 217.17.41.88 -j DROP -A FORWARD -d 217.17.41.92 -j DROP -A FORWARD -d 217.17.41.93 -j DROP -A FORWARD -d 217.17.41.133 -j DROP -A FORWARD -d 217.17.41.138 -j DROP -A FORWARD -d 217.17.41.139 -j DROP -A FORWARD -d 217.17.41.142 -j DROP -A FORWARD -d 217.17.45.143 -j DROP -A FORWARD -p tcp -m multiport --dports 1550,8074 -j DROP Lecz po dodaniu nadal mozna Gadowac .... moze cos ucieklo mojej uwadze ?

Autor:	tasiorek [ wtorek, 21 marca 2006, 14:14 ]
Tytuł:
Nie testowalem, ale sprawdz to: http://newbie.linux.pl/?id=faq&kategoria=8&show=74

Autor:	kozi999 [ czwartek, 23 marca 2006, 00:28 ]
Tytuł:
No to skaczylem .... jakies uwagi lub propozycje ?? # Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006 filter :INPUT DROP [37:4958] :FORWARD DROP [0:0] :OUTPUT DROP [26:12348] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m multiport --dports 135,445,1550,8074 -j DROP -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable -A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 137 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 137 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 138 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 138 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 139 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j DROP -A FORWARD -o lo -j ACCEPT -A FORWARD -p tcp -m multiport --dports 135,445 -j DROP -A FORWARD -p tcp -d 213.180.130.206 -j DROP -A FORWARD -p tcp -d 217.74.64.236 -j DROP -A FORWARD -p tcp -d 212.77.101.148 -j DROP -A FORWARD -p tcp -d 193.17.41.18 -j DROP -A FORWARD -p tcp -d 193.17.41.26 -j DROP -A FORWARD -p tcp -d 80.252.0.132 -j DROP -A FORWARD -p tcp -d 217.74.71.252 -j DROP -A FORWARD -p tcp -d 212.244.112.150 -j DROP -A FORWARD -p tcp -d 193.222.135.227 -j DROP -A FORWARD -p tcp -m ipp2p --kazaa --gnu --edk --dc --bit --apple --soul --winmx --ares -j DROP -A FORWARD -d 212.77.100.22/29 -j DROP -A FORWARD -p tcp -s 217.17.41.0/24 --sport 443 -d 0/0 -j DROP -A FORWARD -p tcp -s 0/0 -d 217.17.41.0/24 --dport 443 -j DROP -A FORWARD -p tcp -s 212.126.20.0/24 --sport 443 -d 0/0 -j DROP -A FORWARD -p tcp -s 0/0 -d 212.17.41.0/24 --dport 443 -j DROP -A FORWARD -p tcp -s 217.17.41.0/24 --sport 8074 -d 0/0 -j DROP -A FORWARD -p tcp -s 0/0 -d 217.17.41.0/24 --dport 8074 -j DROP -A FORWARD -p tcp -s 212.126.20.0/24 --sport 8074 -d 0/0 -j DROP -A FORWARD -p tcp -s 0/0 -d 212.17.41.0/24 --dport 8074 -j DROP -A FORWARD -d 193.17.41.48/255.255.255.248 -j DROP -A FORWARD -d 212.77.100.16/255.255.255.248 -j DROP -A FORWARD -d 85.232.233.10 -j DROP -A FORWARD -d 217.17.41.82 -j DROP -A FORWARD -d 217.17.41.83 -j DROP -A FORWARD -d 217.17.41.84 -j DROP -A FORWARD -d 217.17.41.85 -j DROP -A FORWARD -d 217.17.41.86 -j DROP -A FORWARD -d 217.17.41.87 -j DROP -A FORWARD -d 217.17.41.88 -j DROP -A FORWARD -d 217.17.41.92 -j DROP -A FORWARD -d 217.17.41.93 -j DROP -A FORWARD -d 217.17.41.133 -j DROP -A FORWARD -d 217.17.41.138 -j DROP -A FORWARD -d 217.17.41.139 -j DROP -A FORWARD -d 217.17.41.142 -j DROP -A FORWARD -d 217.17.45.143 -j DROP -A FORWARD -p tcp -m multiport --dports 1550,8074 -j DROP -A FORWARD -i ! eth0 -p tcp -m tcp --dport 20 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -i ! eth0 -d XXX.XXX.XXX.XXX -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -i ! eth0 -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -i ! eth0 -d XXX.XXX.XXX.XXX -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -i ! eth0 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -j DROP -A OUTPUT -j ACCEPT COMMIT # Completed on Mon Mar 20 23:38:30 2006 # Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006 mangle REROUTING ACCEPT [4350:745384] :INPUT ACCEPT [2623:218585] :FORWARD ACCEPT [1725:526679] :OUTPUT ACCEPT [2311:741428] OSTROUTING ACCEPT [3993:1250239] -A POSTROUTING -o eth1 -j TTL --ttl-set 1 COMMIT # Completed on Mon Mar 20 23:38:30 2006 # Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006 *nat REROUTING ACCEPT [160:20217] OSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Mon Mar 20 23:38:30 2006 Dzieki za odzew.

Autor:	jarek_1313 [ czwartek, 23 marca 2006, 12:42 ]
Tytuł:
Odpal neta tylko przez proxy i ustaw dostęp za hasłem tak większość firm ma, areszte zablokuj.

Autor:	Dividos [ wtorek, 2 maja 2006, 23:28 ]
Tytuł:
jarek_1313 pisze: Odpal neta tylko przez proxy i ustaw dostęp za hasłem tak większość firm ma, areszte zablokuj. Co masz na myśli? Hasło w sambie czy jaieś inne? PS Czy da się tak napisać firewalla by łączyli się tylko ludzie należacy np do utworzonej grupy INTERNET?

Autor:	myuser [ środa, 3 maja 2006, 09:37 ]
Tytuł:
hmm w prawdzie nie mam freesco tylko slacka, ale uwazam ze blokada emula przez porty to tragiczne rozwiazanie. zdarzylo mi sie widziec p2p odpalone na porcie 80.. polecam 7Layer. no i przy uzyciu tej latki z pewnoscia mozna lepiej gg obciac niz po adresie serwerow.

Autor:	jarek_1313 [ środa, 3 maja 2006, 10:01 ]
Tytuł:
Mam namyśli Proxy Squid i autoryzacje hasłem Uwaga! W przypadku autoryzowania użytkowników serwer Proxy nie może pracować w trybie transparentnym. Opis masz tu http://bofh.vt.pl/squid.html

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/