Freesco, NND, CDN, EOS • Wyświetl temat

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Oprogramowanie (NND)

Strefa czasowa UTC+2godz.

Mój własny firewall

Moderatorzy: tasiorek, JakubC, Mis'

Strona 1 z 1

[ Posty: 10 ]

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

Gość

Tytuł: Mój własny firewall

: sobota, 3 maja 2008, 12:09

Napisałem firewall'a na potrzeby własne:

: [/] [] ()

#!/bin/sh

TAB="iptables"

WAN="xxx.xxx.xxx.xxx"      #Public IP
IF_WAN="eth0"           #Interface of public IP

LAN="10.1.1.0/24"       #LAN
IF_LAN="eth1"           #Interface of LAN

#Cleaning tables
$TAB -F
$TAB -F -t nat
$TAB -X -t nat
$TAB -F -t mangle
$TAB -X -t mangle
$TAB -F -t filter
$TAB -X -t filter

#Protection against DOS syn-flood attack
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
#Forwardig between interfaces
echo "1" > /proc/sys/net/ipv4/ip_forward

# DEFAULT POLICY
$TAB -P INPUT DROP
$TAB -P FORWARD DROP
$TAB -P OUTPUT ACCEPT

$TAB -A INPUT -i lo -j ACCEPT

# INPUT
$TAB -I INPUT -p tcp --dport 21 -j ACCEPT #ftp
$TAB -I INPUT -p tcp --dport 22 -j ACCEPT #ssh
$TAB -I INPUT -p tcp --dport 53 -j ACCEPT #dns-tcp
$TAB -I INPUT -p udp --dport 53 -j ACCEPT #dns-udp
$TAB -I INPUT -p tcp --dport 80 -j ACCEPT #http

$TAB -A INPUT -s $LAN -d 0/0 -j ACCEPT
$TAB -A INPUT -s 0/0 -d $LAN -j ACCEPT

$TAB -A INPUT -d $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
$TAB -A INPUT -d $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT


# FILTER
$TAB -t filter -A FORWARD -s 10.1.1.2 -d 0/0 -j ACCEPT
$TAB -t filter -A FORWARD -d 10.1.1.2 -s 0/0 -j ACCEPT


# NAT
$TAB -t nat -A POSTROUTING -s 10.1.1.2 -d 0.0.0.0/0 -j SNAT --to-source $WAN
#$TAB -t nat -A POSTROUTING -s 10.1.1.3 -d 0.0.0.0/0 -j SNAT --to-source $WAN

# PORTS FORWARDING
$TAB -t nat -I PREROUTING -p tcp -i $IF_LAN -d $WAN --dport 6666 -j DNAT --to 10.1.1.2

GeSHi © Codebox Plus

W związku z powyższym pytania jakie do was mam to:
Czemu nie działa przekierowanie portu 6666 na ip lokalne?

Czy do prawidłowego działania dns'a wystarczy udp 53, czy może tcp jest również potrzebne?

Jakie reguły dodalibyście do powyższego kodu aby usprawnić/poprawić bezpieczeństwo sieci.

Nie bardzo kapuję tę linijkę:
$TAB -A INPUT -i lo -j ACCEPT (po co to?)

Czy warto zrobić:
$TAB -P OUTPUT DROP

W założeniu komp pełni funkcję routera (SNAT dla poszczególnych ip) oraz serwera (narazie ssh, ftp, dns, http).

Na górę

tasiorek

Tytuł:

: sobota, 3 maja 2008, 12:15

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

Proponuje powrot do standardowego firewalla z nnd.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

Gość

Tytuł:

: sobota, 3 maja 2008, 12:18

tasiorek pisze:

Proponuje powrot do standardowego firewalla z nnd.

Żadna odpowiedź, standardowy firewall nie jest optymalny!

Dodam, że nie korzystam obecnie z nnd, niemniej jednak przez długi czas byłem z niego zadowolonych i liczę na odpowiedź przez wzgląd na dawne czasy

Linux is Linux

Na górę

tasiorek

Tytuł:

: sobota, 3 maja 2008, 12:21

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

raven pisze:

Żadna odpowiedź, standardowy firewall nie jest optymalny!

Jest bezpieczniejszy i bardziej optymalny nie ten ktory przekleiles.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

Gość

Tytuł:

: sobota, 3 maja 2008, 12:26

tasiorek pisze:

raven pisze:

Żadna odpowiedź, standardowy firewall nie jest optymalny!

Jest bezpieczniejszy i bardziej optymalny nie ten ktory przekleiles.

I korzysta z MASQUERADE przy stałym IP :lol:

Nie twierdze, że mój jest bezpieczniejszy - dlatego oczekuje na wsze odpowiedzi, ale nie w stylu skorzystaj ze standardu czy użyj google.

Poza tym chce się czegoś nowego dowiedzieć a nie tylko korzystać z gotowych rozwiązań.

Na górę

Maciek

Tytuł:

: sobota, 3 maja 2008, 13:01

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

Kilka zatem odpowiedzi na twoje pytania.
Po pierwsze ACCEPT na interfejs lo jest niezbędny. Spora część komunikacji przechodzi przez ten interfejs.
Jak zrobisz OUTPUT DROP to będziesz musiał dodać regułkę na każde żądanie z LAN na zewnątrz, które dopuszczasz, a to oznacza, że zanim będziesz wiedział, co jest potrzebne, to większość usług w LAN nie będzie działać (czytaj: userzy będą ci suszyć głowę, ze nie ma netu).

Cytuj:

I korzysta z MASQUERADE przy stałym IP Laughing

A co w tym takiego złego?

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

tasiorek

Tytuł:

: sobota, 3 maja 2008, 13:05

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

raven pisze:

I korzysta z MASQUERADE przy stałym IP :lol:

Zanim zaczniesz lolowac wytlumacz mi prosze w czym to przeszkadza... Zauwazyles jakas roznice w dzialaniu?

raven pisze:

Nie twierdze, że mój jest bezpieczniejszy - dlatego oczekuje na wsze odpowiedzi, ale nie w stylu skorzystaj ze standardu czy użyj google.

Nie jest ani bezpieczniejszy, ani bardziej optymalny.

raven pisze:

#!/bin/sh

Nie wiem z jakiego distro korzystasz, ale ide o zaklad ze sh jest symlinkiem do basha

raven pisze:

TAB="iptables"

Skoro juz wrzucasz zmienna, to lepiej dodac which.

raven pisze:

#Cleaning tables
$TAB -F
$TAB -F -t nat
$TAB -X -t nat
$TAB -F -t mangle
$TAB -X -t mangle
$TAB -F -t filter
$TAB -X -t filter

Po co dublujesz polecenia? Domyslna tabela jest filter.

raven pisze:

# INPUT
$TAB -I INPUT -p tcp --dport 21 -j ACCEPT #ftp

Wiekszosc userow laczy sie z ftp w trybie passive, wiec odblokowanie tylko portu 21 nie wystarczy

raven pisze:

$TAB -A INPUT -s 0/0 -d $LAN -j ACCEPT

Input -d lan? Yyy co tworca firewalla ktory przekleiles chcial przez to zrobic?

raven pisze:

$TAB -A INPUT -d $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

j.w.

raven pisze:

$TAB -t filter -A FORWARD -d 10.1.1.2 -s 0/0 -j ACCEPT

Sredni pomysl. Lepiej zastosowac -m state.

raven pisze:

$TAB -t nat -A POSTROUTING -s 10.1.1.2 -d 0.0.0.0/0 -j SNAT --to-source $WAN
#$TAB -t nat -A POSTROUTING -s 10.1.1.3 -d 0.0.0.0/0 -j SNAT --to-source $WAN

Masz zamiar tak wymienic wszystkich? Snata/maskarade lepiej stosowac na interfejsie wychodzacym, nie z -d, bo jak dojdzie Ci inna podsiec to bedziesz mial niepotrzebne maskowanie.

raven pisze:

$TAB -t nat -I PREROUTING -p tcp -i $IF_LAN -d $WAN --dport 6666 -j DNAT --to 10.1.1.2

Przekierowanie z LANu? Po co?

Sam sobie komplikujesz zycie, ale to przez to ze skleiles kilka roznych firewalli. Po co dodajesz reguly z -I? Po co uzywasz -d i -s 0/0 lub 0.0.0.0/0 (jak juz sie uparles na to, to dodaj to do kazdej reguly w jednej formie). Dlaczego w niektorych regulach uzywasz -t filter, a w innych nie?
Ogolnie jak chcesz sie uczyc, to napisz firewall sam na podstawie innych. Sklejanie kilku gotowcow w jeden nic Ci nie da.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

Gość

Tytuł:

: sobota, 3 maja 2008, 13:17

Maciek pisze:

A co w tym takiego złego?

Tak zaleca manual iptables

: [/] [] ()

Masquerade
This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target. Masquerading is equivalent to specifying a mapping to the IP address of the interface the packet is going out, but also has the effect that connections are forgotten when the interface goes down. This is the correct behavior when the next dialup is unlikely to have the same interface address (and hence any established connections are lost anyway). 

tasiorek pisze:

Zanim zaczniesz lolowac wytlumacz mi prosze w czym to przeszkadza... Zauwazyles jakas roznice w dzialaniu?

Przy liczbie moich userów może to nie zrobi wielkiej, różnicy niemniej jednak ktoś tworząc iptables wymyślił SNAT w jakimś konkretnym celu, co masz opisane powyżej.

Poza tym wyluzujcie, bo czuje sie zaszczuty

Na górę

Maciek

Tytuł:

: sobota, 3 maja 2008, 13:26

Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk

Poprawka do mojej wypowiedzi, jak tasior słusznie zauważył OUTPUT DROP zablokuje pakiety wychodzące z serwera a nie z LAN.

_________________
Obrazek

Belfer.one.PL

Audio Cafe

Na górę

tasiorek

Tytuł:

: sobota, 3 maja 2008, 13:31

MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów

raven pisze:

Przy liczbie moich userów może to nie zrobi wielkiej, różnicy niemniej jednak ktoś tworząc iptables wymyślił SNAT w jakimś konkretnym celu, co masz opisane powyżej.

Ech. Czepiasz sie stosowania maskarady zamiast snata, a wrzucasz niepotrzebne reguly. Zastanow sie, bo przeczysz sam sobie.

raven pisze:

Poza tym wyluzujcie, bo czuje sie zaszczuty

Chcialem Ci dobitnie udowodnic, ze ten firewall nie jest ani bardziej optymalny, ani bezpieczniejszy. Jak chcesz cos robic sam to rob to sam, a jak kopiowac to przynajmniej z dobrych zrodel.
Doksztalcanie zacznij np tu: http://pivo.glogow.net.pl/linux/docs/Lu ... wirusy.pdf

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Na górę

Strona 1 z 1

[ Posty: 10 ]

Indeks witryny » NND » Oprogramowanie (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 7 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników