Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 25 lipca 2025, 10:43

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 10 ] 
Autor Wiadomość
Post: sobota, 3 maja 2008, 12:09 
Napisałem firewall'a na potrzeby własne:


: [/] [] ()
#!/bin/sh

TAB="iptables"

WAN="xxx.xxx.xxx.xxx"      #Public IP
IF_WAN="eth0"           #Interface of public IP

LAN="10.1.1.0/24"       #LAN
IF_LAN="eth1"           #Interface of LAN

#Cleaning tables
$TAB -F
$TAB -F -t nat
$TAB -X -t nat
$TAB -F -t mangle
$TAB -X -t mangle
$TAB -F -t filter
$TAB -X -t filter

#Protection against DOS syn-flood attack
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
#Forwardig between interfaces
echo "1" > /proc/sys/net/ipv4/ip_forward

# DEFAULT POLICY
$TAB -P INPUT DROP
$TAB -P FORWARD DROP
$TAB -P OUTPUT ACCEPT

$TAB -A INPUT -i lo -j ACCEPT

# INPUT
$TAB -I INPUT -p tcp --dport 21 -j ACCEPT #ftp
$TAB -I INPUT -p tcp --dport 22 -j ACCEPT #ssh
$TAB -I INPUT -p tcp --dport 53 -j ACCEPT #dns-tcp
$TAB -I INPUT -p udp --dport 53 -j ACCEPT #dns-udp
$TAB -I INPUT -p tcp --dport 80 -j ACCEPT #http

$TAB -A INPUT -s $LAN -d 0/0 -j ACCEPT
$TAB -A INPUT -s 0/0 -d $LAN -j ACCEPT

$TAB -A INPUT -d $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
$TAB -A INPUT -d $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT


# FILTER
$TAB -t filter -A FORWARD -s 10.1.1.2 -d 0/0 -j ACCEPT
$TAB -t filter -A FORWARD -d 10.1.1.2 -s 0/0 -j ACCEPT


# NAT
$TAB -t nat -A POSTROUTING -s 10.1.1.2 -d 0.0.0.0/0 -j SNAT --to-source $WAN
#$TAB -t nat -A POSTROUTING -s 10.1.1.3 -d 0.0.0.0/0 -j SNAT --to-source $WAN

# PORTS FORWARDING
$TAB -t nat -I PREROUTING -p tcp -i $IF_LAN -d $WAN --dport 6666 -j DNAT --to 10.1.1.2


W związku z powyższym pytania jakie do was mam to:
Czemu nie działa przekierowanie portu 6666 na ip lokalne?

Czy do prawidłowego działania dns'a wystarczy udp 53, czy może tcp jest również potrzebne?

Jakie reguły dodalibyście do powyższego kodu aby usprawnić/poprawić bezpieczeństwo sieci.

Nie bardzo kapuję tę linijkę:
$TAB -A INPUT -i lo -j ACCEPT (po co to?)

Czy warto zrobić:
$TAB -P OUTPUT DROP

W założeniu komp pełni funkcję routera (SNAT dla poszczególnych ip) oraz serwera (narazie ssh, ftp, dns, http).


Na górę
  
 
 Tytuł:
Post: sobota, 3 maja 2008, 12:15 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Proponuje powrot do standardowego firewalla z nnd.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 3 maja 2008, 12:18 
tasiorek pisze:
Proponuje powrot do standardowego firewalla z nnd.


Żadna odpowiedź, standardowy firewall nie jest optymalny!

Dodam, że nie korzystam obecnie z nnd, niemniej jednak przez długi czas byłem z niego zadowolonych i liczę na odpowiedź przez wzgląd na dawne czasy :D

Linux is Linux ;)


Na górę
  
 
 Tytuł:
Post: sobota, 3 maja 2008, 12:21 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
raven pisze:
Żadna odpowiedź, standardowy firewall nie jest optymalny!

Jest bezpieczniejszy i bardziej optymalny nie ten ktory przekleiles.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 3 maja 2008, 12:26 
tasiorek pisze:
raven pisze:
Żadna odpowiedź, standardowy firewall nie jest optymalny!

Jest bezpieczniejszy i bardziej optymalny nie ten ktory przekleiles.


I korzysta z MASQUERADE przy stałym IP :lol:

Nie twierdze, że mój jest bezpieczniejszy - dlatego oczekuje na wsze odpowiedzi, ale nie w stylu skorzystaj ze standardu czy użyj google.

Poza tym chce się czegoś nowego dowiedzieć a nie tylko korzystać z gotowych rozwiązań.


Na górę
  
 
 Tytuł:
Post: sobota, 3 maja 2008, 13:01 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Kilka zatem odpowiedzi na twoje pytania.
Po pierwsze ACCEPT na interfejs lo jest niezbędny. Spora część komunikacji przechodzi przez ten interfejs.
Jak zrobisz OUTPUT DROP to będziesz musiał dodać regułkę na każde żądanie z LAN na zewnątrz, które dopuszczasz, a to oznacza, że zanim będziesz wiedział, co jest potrzebne, to większość usług w LAN nie będzie działać (czytaj: userzy będą ci suszyć głowę, ze nie ma netu).
Cytuj:
I korzysta z MASQUERADE przy stałym IP Laughing

A co w tym takiego złego?

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 3 maja 2008, 13:05 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
raven pisze:
I korzysta z MASQUERADE przy stałym IP :lol:


Zanim zaczniesz lolowac wytlumacz mi prosze w czym to przeszkadza... Zauwazyles jakas roznice w dzialaniu?

raven pisze:
Nie twierdze, że mój jest bezpieczniejszy - dlatego oczekuje na wsze odpowiedzi, ale nie w stylu skorzystaj ze standardu czy użyj google.


Nie jest ani bezpieczniejszy, ani bardziej optymalny.

raven pisze:
#!/bin/sh

Nie wiem z jakiego distro korzystasz, ale ide o zaklad ze sh jest symlinkiem do basha

raven pisze:
TAB="iptables"


Skoro juz wrzucasz zmienna, to lepiej dodac which.

raven pisze:
#Cleaning tables
$TAB -F
$TAB -F -t nat
$TAB -X -t nat
$TAB -F -t mangle
$TAB -X -t mangle
$TAB -F -t filter
$TAB -X -t filter


Po co dublujesz polecenia? Domyslna tabela jest filter.
raven pisze:
# INPUT
$TAB -I INPUT -p tcp --dport 21 -j ACCEPT #ftp

Wiekszosc userow laczy sie z ftp w trybie passive, wiec odblokowanie tylko portu 21 nie wystarczy

raven pisze:
$TAB -A INPUT -s 0/0 -d $LAN -j ACCEPT

Input -d lan? Yyy co tworca firewalla ktory przekleiles chcial przez to zrobic?
raven pisze:
$TAB -A INPUT -d $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

j.w.

raven pisze:
$TAB -t filter -A FORWARD -d 10.1.1.2 -s 0/0 -j ACCEPT


Sredni pomysl. Lepiej zastosowac -m state.

raven pisze:
$TAB -t nat -A POSTROUTING -s 10.1.1.2 -d 0.0.0.0/0 -j SNAT --to-source $WAN
#$TAB -t nat -A POSTROUTING -s 10.1.1.3 -d 0.0.0.0/0 -j SNAT --to-source $WAN


Masz zamiar tak wymienic wszystkich? Snata/maskarade lepiej stosowac na interfejsie wychodzacym, nie z -d, bo jak dojdzie Ci inna podsiec to bedziesz mial niepotrzebne maskowanie.

raven pisze:
$TAB -t nat -I PREROUTING -p tcp -i $IF_LAN -d $WAN --dport 6666 -j DNAT --to 10.1.1.2

Przekierowanie z LANu? Po co?

Sam sobie komplikujesz zycie, ale to przez to ze skleiles kilka roznych firewalli. Po co dodajesz reguly z -I? Po co uzywasz -d i -s 0/0 lub 0.0.0.0/0 (jak juz sie uparles na to, to dodaj to do kazdej reguly w jednej formie). Dlaczego w niektorych regulach uzywasz -t filter, a w innych nie?
Ogolnie jak chcesz sie uczyc, to napisz firewall sam na podstawie innych. Sklejanie kilku gotowcow w jeden nic Ci nie da.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 3 maja 2008, 13:17 
Maciek pisze:
A co w tym takiego złego?


Tak zaleca manual iptables

: [/] [] ()
Masquerade
This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target. Masquerading is equivalent to specifying a mapping to the IP address of the interface the packet is going out, but also has the effect that connections are forgotten when the interface goes down. This is the correct behavior when the next dialup is unlikely to have the same interface address (and hence any established connections are lost anyway).


tasiorek pisze:
Zanim zaczniesz lolowac wytlumacz mi prosze w czym to przeszkadza... Zauwazyles jakas roznice w dzialaniu?


Przy liczbie moich userów może to nie zrobi wielkiej, różnicy niemniej jednak ktoś tworząc iptables wymyślił SNAT w jakimś konkretnym celu, co masz opisane powyżej.

Poza tym wyluzujcie, bo czuje sie zaszczuty 8)


Na górę
  
 
 Tytuł:
Post: sobota, 3 maja 2008, 13:26 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Poprawka do mojej wypowiedzi, jak tasior słusznie zauważył OUTPUT DROP zablokuje pakiety wychodzące z serwera a nie z LAN.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 3 maja 2008, 13:31 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
raven pisze:
Przy liczbie moich userów może to nie zrobi wielkiej, różnicy niemniej jednak ktoś tworząc iptables wymyślił SNAT w jakimś konkretnym celu, co masz opisane powyżej.


Ech. Czepiasz sie stosowania maskarady zamiast snata, a wrzucasz niepotrzebne reguly. Zastanow sie, bo przeczysz sam sobie.

raven pisze:
Poza tym wyluzujcie, bo czuje sie zaszczuty 8)

Chcialem Ci dobitnie udowodnic, ze ten firewall nie jest ani bardziej optymalny, ani bezpieczniejszy. Jak chcesz cos robic sam to rob to sam, a jak kopiowac to przynajmniej z dobrych zrodel.
Doksztalcanie zacznij np tu: http://pivo.glogow.net.pl/linux/docs/Lu ... wirusy.pdf

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 10 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl
Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Dowiedz się więcejRozumiem