Freesco, NND, CDN, EOS :: Wyświetl temat

: [/] [] ()

#!/bin/sh
# rc.firewall 0.1 Zciech
#

i="iptables"
#i="echo iptables"

#Porty wpuszczane/zabronione
TCP_IN_ALLOW="80"
# mozna dopisac porty do 15 szt.
TCP_IN_DENY="135,136,137,138"

# Adresy
net0=80.82.14.8
mask0=255.255.255.252
net1=192.168.0.0
mask1=255.255.255.0

# Ladujemy modul stateful-inspection dla FTP i inne
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc

if [ -e /proc/sys/net/ipv4/tcp_ecn ];then
    echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
echo 1> /proc/sys/net/ipv4/ip_forward
echo 1> /proc/sys/net/ipv4/conf/lo/rp_filter
echo 1> /proc/sys/net/ipv4/conf/eth0/rp_filter

$i -F
$i -F -t nat

$i -P INPUT DROP
$i -P FORWARD DROP
$i -P OUTPUT ACCEPT 

#komendy ratunkowe przy zdalnej pracy
#(sleep 230;\ 
#iptables -P INPUT ACCEPT ;\
#iptables -P OUTPUT ACCEPT ;\
#iptables -P FORWARD ACCEPT ;\
#iptables -F) &


$i -A INPUT -i lo -j ACCEPT
$i -A FORWARD -o lo -j ACCEPT

# Odrzucamy z komunikatem ICMP Port Unreachable polaczenia
# na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC)
$i -A INPUT -p tcp --dst 0/0 --dport 113  -j REJECT --reject-with icmp-port-unreachable
$i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable

# Blaster wraz z logowaniem
#$i -A INPUT -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 10/hour
$i -A INPUT -p tcp --dst 0/0 --dport 135 -j DROP
#$i -A FORWARD -p tcp --dst 0/0  --dport 135 -j LOG -m limit --limit 10/hour
$i -A FORWARD -p tcp --dst 0/0  --dport 135 -j DROP


# Takie adresy nie maja prawa tu byc
$i -A INPUT -i eth0 -s $net1/$mask1 -j DROP
$i -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
$i -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
$i -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP

# uslugi niedostepne
if [ "$TCP_IN_DENY" ];then
    $i -A INPUT -p tcp -i eth0 --dst 0/0 -m multiport --dport $TCP_IN_DENY -j DROP
fi    
# uslugi udostepnione
if [ "$TCP_IN_ALLOW" ];then
    $i -A INPUT -p tcp -i eth0 -m multiport --dst 0/0 --dport $TCP_IN_ALLOW -j ACCEPT
fi    

# pingi puszczamy
$i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# DHCPD bez tego nie przydziela IP
$i -A INPUT -i eth1 -s 0.0.0.0 -j ACCEPT

# Uzytkownicy
sed -n /^/P /etc/hosts |while read IP nazwa ;do
    $i -A INPUT -i eth1 -s $IP -j ACCEPT
    $i -A FORWARD -s $IP -j ACCEPT
done

# maskarada
sed -n /^/P /etc/hosts |while read IP nazwa ;do
    $i -t nat -A POSTROUTING  -s $IP -j MASQUERADE
done

# Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych
# polaczen
$i -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
$i -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
$i -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
$i -A INPUT -p icmp -j ACCEPT -m state --state RELATED
$i -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
$i -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
$i -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
$i -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
$i -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED

# Logujemy pakiety ktore nie zostaly zaakceptowane przez
# zadna z powyzszych regulek. Zostana one wyblokowane dzieki
# polityce DROP we wszystkich tablicach, niestety cel-j LOG 
# na razie nie dziala
#$i -A INPUT -j LOG -m limit --limit 10/hour
#$i -A FORWARD -j LOG -m limit --limit 10/hour

Autor:	Koriolan [ piątek, 12 marca 2004, 13:14 ]
Tytuł:	NND ifirewall.
Potrzebuję jakiegoś trochę lepszego firewalla. Czy PGF moze polecić lub podać jakiego używa ? Może by wybrać 'zalecanego' dla NND ? Próbowałem : Lutelmowskiego - brak dev LOG wkompilowanego w jadro. Shorewall - brak dodatkow do 'ip'. OpenWall - trzeba dokompilowywac jądro. itd. Możecie jakiegos polecić do NND, coby miał : np. blokowanie pingów. blokowanie userów. współpracował z HTB z NND. był łatwy w konfiguracji.

Autor:	lamer [ piątek, 12 marca 2004, 13:28 ]
Tytuł:
Chyba trochę namieszałeś... 1. Openwall to nie firewall i w dodatku jest już w nnd 2. Blokawanie pingów i userów załatwiasz regołkami iptables (czyli właśnie firewalla)

Autor:	Maciek [ piątek, 12 marca 2004, 13:41 ]
Tytuł:
Nie uwazam się za specjalistę w zakresie firewalli, ale pojęcie firewalla jako programu kojarzy mi się raczej z komputerem - klientem i dodatkową aplikacją, która strzeże go przed jakimiś niespodziankami. W przypadku serwera firewall to raczej zestaw reguł, które ustalają politykę akceptowania. odrzucania i forwardowania pakietów. W przypadku nnd te podstawowe reguły są ustalane podczas konfiguracji i zapisywane w rc.masq. Oprócz tego jest rc.firewall pozwalający na wpisanie dodatkowych reguł. Jak dotychczas serwer, który postawiłem, wygląda na całkiem bezpieczny (również i komputery za natem), jest co prawda wzbogacony o portsentry i tcplogd (te paczki będą już wkrótce dostępne). Co do wspomnianego Openwalla to wg tego co wiem, pod tym właśnie kątem zostało spaczowane jądro nnd....

Autor:	Koriolan [ piątek, 12 marca 2004, 18:08 ]
Tytuł:
NND po instalacji ma włączone kilka portów w tym 'ssh' jak sobie ktos próbuje a nie zmieni hasła to można bez trudu na niego wejść. Wyobrażałem sobie prosty skrypt/program/czy cokolwiek innego co wspomoże w konfiguracji firewall'a i ewentualnie HTB. To jest propozycja, zapotrzebowanie. Przydatne to może być również do blokowania kaazy itp. Jakaś fragmentaryczna dyskusja toczyła się na nnd-l o znakowaniu pakietów itp. ------ Wiem, że OpenWall to nie firewall tylko zespół zabezpieczeń w tym path na jądro. Wiem też, że każdy może sobie zrobić co potrafi. Nie wypowiadam się by mieszć i wzbudzać fermenty

Autor:	Maciek [ piątek, 12 marca 2004, 19:35 ]
Tytuł:
Dodatkowe skrypty, jakie są jeszcze w przygotowaniu, służą do forwardu i blokowania p2p. Pomysł napisania skryptu, który by blokował usługi, lub domyślne blokowanie wszystkiego przyjmujemy do rozważenia.

Freesco, NND, CDN, EOS http://forum.freesco.pl/

NND ifirewall. http://forum.freesco.pl/viewtopic.php?f=22&t=3902	Strona 1 z 2

Autor:	zciech [ sobota, 13 marca 2004, 01:19 ]
Tytuł:
Ale to dla kogos co wie jak sie obchodzic z iptablesami ni etwierdze ze to zamkneta calosc i nie jest uniwersalna : [/] [] () #!/bin/sh # rc.firewall 0.1 Zciech # i="iptables" #i="echo iptables" #Porty wpuszczane/zabronione TCP_IN_ALLOW="80" # mozna dopisac porty do 15 szt. TCP_IN_DENY="135,136,137,138" # Adresy net0=80.82.14.8 mask0=255.255.255.252 net1=192.168.0.0 mask1=255.255.255.0 # Ladujemy modul stateful-inspection dla FTP i inne /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc if [ -e /proc/sys/net/ipv4/tcp_ecn ];then echo 0 > /proc/sys/net/ipv4/tcp_ecn fi echo 1> /proc/sys/net/ipv4/ip_forward echo 1> /proc/sys/net/ipv4/conf/lo/rp_filter echo 1> /proc/sys/net/ipv4/conf/eth0/rp_filter $i -F $i -F -t nat $i -P INPUT DROP $i -P FORWARD DROP $i -P OUTPUT ACCEPT #komendy ratunkowe przy zdalnej pracy #(sleep 230;\ #iptables -P INPUT ACCEPT ;\ #iptables -P OUTPUT ACCEPT ;\ #iptables -P FORWARD ACCEPT ;\ #iptables -F) & $i -A INPUT -i lo -j ACCEPT $i -A FORWARD -o lo -j ACCEPT # Odrzucamy z komunikatem ICMP Port Unreachable polaczenia # na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC) $i -A INPUT -p tcp --dst 0/0 --dport 113 -j REJECT --reject-with icmp-port-unreachable $i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable # Blaster wraz z logowaniem #$i -A INPUT -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 10/hour $i -A INPUT -p tcp --dst 0/0 --dport 135 -j DROP #$i -A FORWARD -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 10/hour $i -A FORWARD -p tcp --dst 0/0 --dport 135 -j DROP # Takie adresy nie maja prawa tu byc $i -A INPUT -i eth0 -s $net1/$mask1 -j DROP $i -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP $i -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP $i -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP # uslugi niedostepne if [ "$TCP_IN_DENY" ];then $i -A INPUT -p tcp -i eth0 --dst 0/0 -m multiport --dport $TCP_IN_DENY -j DROP fi # uslugi udostepnione if [ "$TCP_IN_ALLOW" ];then $i -A INPUT -p tcp -i eth0 -m multiport --dst 0/0 --dport $TCP_IN_ALLOW -j ACCEPT fi # pingi puszczamy $i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # DHCPD bez tego nie przydziela IP $i -A INPUT -i eth1 -s 0.0.0.0 -j ACCEPT # Uzytkownicy sed -n /^/P /etc/hosts \|while read IP nazwa ;do $i -A INPUT -i eth1 -s $IP -j ACCEPT $i -A FORWARD -s $IP -j ACCEPT done # maskarada sed -n /^/P /etc/hosts \|while read IP nazwa ;do $i -t nat -A POSTROUTING -s $IP -j MASQUERADE done # Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych # polaczen $i -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED $i -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED $i -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED $i -A INPUT -p icmp -j ACCEPT -m state --state RELATED $i -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED $i -A FORWARD -p tcp -j ACCEPT -m state --state RELATED $i -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED $i -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED $i -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED # Logujemy pakiety ktore nie zostaly zaakceptowane przez # zadna z powyzszych regulek. Zostana one wyblokowane dzieki # polityce DROP we wszystkich tablicach, niestety cel-j LOG # na razie nie dziala #$i -A INPUT -j LOG -m limit --limit 10/hour #$i -A FORWARD -j LOG -m limit --limit 10/hour GeSHi © Codebox Plus Dla innych konfiguracji zmienic interfejsy dla sdi eth0 -> ppp0 , eth1 ->eth0 dla neo eth0 ->ppp0, dopisac regule puszczjaca caly ruch z eth0 Ogolnie to nie trzeba niczego blokowac od strony netu poniewaz z tej strony firewall puszcza domyslnie tylko pakiety z nawiazanych juz polaczen, tak ze nawet jak uruchomisz www a nie wpiszesz w firewal zabronienia to od strony netu nikt nie wejdzie.

Autor:	Maciek [ sobota, 13 marca 2004, 01:34 ]
Tytuł:
zciech pisze: # Ladujemy modul stateful-inspection dla FTP i inne /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc #komendy ratunkowe przy zdalnej pracy #(sleep 230;\ #iptables -P INPUT ACCEPT ;\ #iptables -P OUTPUT ACCEPT ;\ #iptables -P FORWARD ACCEPT ;\ #iptables -F) & # Odrzucamy z komunikatem ICMP Port Unreachable polaczenia # na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC) $i -A INPUT -p tcp --dst 0/0 --dport 113 -j REJECT --reject-with icmp-port-unreachable $i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable $i -A INPUT -p tcp --dst 0/0 --dport 135 -j DROP # Blaster !! # Logujemy pakiety ktore nie zostaly zaakceptowane przez # zadna z powyzszych regulek. Zostana one wyblokowane dzieki # polityce DROP we wszystkich tablicach, niestety cel-j LOG # na razie nie dziala #$i -A INPUT -j LOG -m limit --limit 10/hour #$i -A FORWARD -j LOG -m limit --limit 10/hour Mam pytania odnośnie tych zacytowanych przeze mnie fragmentów. 1. Czy moduły te są czy nie ładowane w standardowej wersji? 2. O co chodzi z tymi komendami ratunkowymi? 3. Co trzeba zrobić z tym LOG, coś w jajko wkompilować? A może tak byśmy pogadali o zrobieniu takich właśnie wstępnych i bezpiecznych reguł? Oczywiście potrzeba nam bardzo takiego speca od regułek może tak na liście dyskusyjnej?

Autor:	zciech [ sobota, 13 marca 2004, 01:47 ]
Tytuł:
1. nie wiem 2. to jedna linia jak odplotkujesz to uruchamia sie w tle i po kilku minutach kasuje caly firewal i znowu masz dostep, jak cos sknocisz zdalnie , np zabronisz sobie dostepu, tylko dla testow, gdy nikogo niem przy serwerze 3. nie wiem może

Autor:	zciech [ wtorek, 16 marca 2004, 16:47 ]
Tytuł:
Poprawilem regule blokujaca Blastera, blokuje rowniez w lancuchu FORWARD teraz nie ma szans sie wydostac, a jak bedzie logowanie to dowiemy sie kto to rozsyla

Autor:	zciech [ poniedziałek, 29 marca 2004, 23:41 ]
Tytuł:
Mysle ze to wszystko czego potrzebujecie: http://reliserv.homelinux.org/firewall.tgz instalowac przez installpkg po zainstalowaniu i konfiguracji: w plikiu /etc/firewall/rc.firewall zaplotkowac linie: : [/] [] () i="iptables" #i="echo iptables" GeSHi © Codebox Plus Bo tak to tylko wypisuje reguly a ich nie ustawia. skopiowac plik /etc/firewall/rc.firewall do /etc/rc.d/ (zrobilem tak dla bezpieczenstwa) usunac z /etc/rc.d plik rc.masq i odwolanie do niego z rc.router Jesli masz mrtg i/lub statmat musisz je zrestartowac po uruchomieniu rc.firewall, bo czesc statystyk moze nie dzialac. głowny konfigurator: /etc/firewall/firewall.configure konfigurator przekierowan: /etc/firewall/forward.configure

Autor:	zciech [ niedziela, 4 kwietnia 2004, 21:01 ]
Tytuł:
Zmieniłe troche paczke, po zainstalowaniu uruchamia sie konfigurator, w paczce znajduje sie miniserv i zmienione pliki service i initd.conf, nie trzeba nic odplotkowywac.

Autor:	suhopar [ niedziela, 11 kwietnia 2004, 21:08 ]
Tytuł:
A ja mam takie pytanie czy jest możliwość za pomocą iptables wycięcie KaZy z portu 80. Gdzieś kiedyś znalazłem artykuł na ten temat ale tej strony już nie ma było tam cos o stringach i wogóle.

Autor:	Koriolan [ środa, 14 kwietnia 2004, 15:59 ]
Tytuł:
W/g mnie Kaza jest problemem gdy szwankuje podział łącza. Jeżeli ktoś dostaje jakieś pasmo to jego rzecz jak je wykorzystuje, byle nie ze szkodą dla innych. Pilnowanie tego jest właśnie zadaniem htb i w NND chodzi to nieźle.

Autor:	Anonymous [ wtorek, 4 maja 2004, 19:29 ]
Tytuł:
te przekierowanie portów i tak nie działa:(

Autor:	Anonymous [ środa, 5 maja 2004, 00:42 ]
Tytuł:
no dobra, wyskakujew mi cos takiego od kad wziolem sobie ten pliczek z firewallem iptables: No chain/target/match by that name─────────────────────────────────── iptables: No chain/target/match by that name iptables: No chain/target/match by that name iptables: No chain/target/match by that name Co z tym poradzic ?? cała reszta działa ale to cos zostaje

Autor:	Koriolan [ czwartek, 6 maja 2004, 14:08 ]
Tytuł:
Nowe wersje NND nie chcą się zainstalować czy Ci nie chodzą ? Jeżeli chciałbyś zainstalować je to mogę Ci pomóc. Na szybkiego to zerknij na http://pitsoft.com.pl/nnd/ "Instalacja NND jako kolejnego systemy operacyjnega". Jak bedziesz chciał pewnie to napisz; opiszę Ci "krok po kroku" .

Autor:	nufel [ niedziela, 9 maja 2004, 20:32 ]
Tytuł:
Witam Zciech, Mam do Ciebie gorącą prośbę, a mianowicie: zainstalowałem Twojego firewalla i natrafiłem na problem z mrtg. Wywala jakieś błędy, a ja nie bardzo wiem o co chodzi. w pliku /etc/rc.d/rc.local mam wpis /etc/rc.d/rc.mrtg start do tej pory (tj. do instalacji firewalla) startował mrtg. Teraz po kilku minutach od restartu NND wywala mi coś takiego: : [/] [] () ERROR: Traget[swap][_IN_] ' $$traget[14]{$mode} ' did not eval into defined data ERROR: Traget[swap][_OUT_] ' $$traget[14]{$mode} ' did not eval into defined data GeSHi © Codebox Plus tym podobne wpisy pokazują się co 3-4 minuty. Po zatrzymaniu mrtg i ponownym wydaniu polecenia: /etc/rc.d/rc.mrtg start Otrzymuję komunikat: : [/] [] () Warning: Could not get any data from external comand ' /etc/mrtg/swap ' Maybe the external comand did not even start. (IIIegal seek) Warning Problem with External get ' /etc/mrtg/swap ': Expected a Numer for ' out but nothing ' GeSHi © Codebox Plus no i to co wyżej Poza tym jest jeszcze coś takiego: : [/] [] () iptables: Chain already exist GeSHi © Codebox Plus I tak: nie mam pojęcia co jest grane i gdzie leży błąd. Usunąłem (tj. zapłotkowałem) wpisy w rc.router odnośnie rc.masq, pliku rc.masq nie było już w /etc/rc.d więc go nie usuwałem . Odnośnie tych komunikatów: nie byłoby w tym może nic palącego gdyby wszystko inne wtedy chodziło, ale niestety, nie ma tak dobrze Czekam na sugestie

Strona 1 z 2	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/

Autor:	zciech [ wtorek, 4 maja 2004, 22:43 ]
Tytuł:
A konkretnie to co nie dziala ?

Autor:	zciech [ środa, 5 maja 2004, 10:58 ]
Tytuł:
no to nieźle cos namieszales sprawdz pliki z danymi w /etc/firewall

Autor:	Anonymous [ środa, 5 maja 2004, 15:52 ]
Tytuł:
nie wiem co moze sie dziac, ale po restarcie firewall dobrze działa mimo takiego logu na koniec wszystkie pliki wygladają poprawnie bo sa przepuszczone przez ten instalator, i od poczatku taki smieszny log mam. moze byc powodem ze mam NND z 18 lutego jeszcze ??? bo kolejne nastepne NND juz niestety nie dają się zainstalowac