Freesco, NND, CDN, EOS

Witam serdecznie ...

z gory dzieki za odpowiedzi typu znajdz przycisk SZUKAJ czy podobne ....
troche czytalem o iptables ale dalej uwazam, ze nic o nim nie wiem

Jest sobie FIRMA X -
Internet - eth0
Lan - eth1
Internet ma byc w pewien sposob ograniczony w nastepujacy sposob :

USŁUGI uruchomione na serwerze:

- FTP port 20 TCP na ZEW. i WEW.
- FTP port 21 TCP na ZEW. i WEW.
- SSH port 22 TCP na ZEW. i WEW.
- POCZTA port 25 TCP na ZEW. i WEW.
- DNS port 53 TCP UDP WEW.
- WWW port 80 TCP na ZEW. i WEW.
- POCZTA port 110 TCP UDP na ZEW. i WEW.
- SAMBA port 137 TCP UDP WEW.
- SAMBA port 138 TCP UDP WEW.
- SAMBA port 139 TCP UDP WEW.
- SQUID port 3128 TCP WEW.

PORT 80 TCP przekierowany na 3128 TCP na serwerze (PROXY)


PORTY otwarte dla końcówek (wyjscie) :

- FTP port 20 TCP GLOBALNY
- FTP port 21 TCP GLOBALNY
- SSH port 22 TCP GLOBALNY
- POCZTA port 25 TCP TYLKO W LAN !!!
- DNS port 53 TCP UDP TYLKO W LAN !!!
- WWW port 80 TCP przekierowany na 3128 (PROXY)
- POCZTA port 110 TCP UDP TYLKO W LAN !!!
- SAMBA port 137 TCP UDP TYLKO W LAN !!!
- SAMBA port 138 TCP UDP TYLKO W LAN !!!
- SAMBA port 139 TCP UDP TYLKO W LAN !!!
- HTTPS port 443 TCP GLOBALNY

RESZTA PORTOW - DROP !!!

I teraz jesli ktos bylby tak mily i pomogl mi w napisaniu stosownego firewalla....

Serdecznie dziekuje osoba ktora znajda chwile czasu i cos w tej sprawie pomoga ...

Pozdrawiam.

PS. Czyli domyslnie w firewallu jest wszystko na DROP bo jakos nie zauwazylem tego wpisu .... czyli FORWARD globalny usunac i dodac po koleji regulki ..... jeszcze jakies podpowiedzi ?

Usun linie (nad maskarada):
$i -A FORWARD -i ! $EXTIF -j ACCEPT
i dodaj do firewalla reguly zezwalajace na FORWARD tych portow, ktore napisales.
Podstawy iptables masz tu: http://szluug.org/pliki/wyklady/2004/28 ... filter.pdf
Jak liczysz na gotowca, to licz dalej.

tasiorek - matematyka jest krolowa nauk

kozi999 - chyba liczysz sie z tym ze jednak ktos musialby sobie posiedziec nad tym a dlaczego masz to nie byc Ty ?zobacz najpierw jak jest zbudowany jakis firewall a pozniej wg opisu regulek zrob sobie go sam, to wbrew pozorom na jedno lacze jest banalnie proste.

_________________
www.komputer.cuprum.pl
Intel Core 2 DUO QUAD, DUAL DDR2 8GB, GF8800 1 GB, HDD SATAII 750 GB + 750 GB + 80GB + IDE HDD 40 GB, Linux Mandriva 2008 PP

# Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006
*filter
:INPUT DROP [37:4958]
:FORWARD DROP [0:0]
:OUTPUT DROP [26:12348]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 135,445 -j DROP
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 137 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 138 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 1550,8074 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
-A FORWARD -o lo -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 135,445 -j DROP
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i ! eth0 -d XXX.XXX.XXX.XXX -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -i ! eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i ! eth0 -d XXX.XXX.XXX.XXX -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m ipp2p --kazaa --gnu --edk --dc --bit --apple --soul --winmx --ares -j DROP
-A FORWARD -d 193.17.41.48/255.255.255.248 -j DROP
-A FORWARD -d 212.77.100.16/255.255.255.248 -j DROP
-A FORWARD -d 85.232.233.10 -j DROP
-A FORWARD -d 217.17.41.82 -j DROP
-A FORWARD -d 217.17.41.83 -j DROP
-A FORWARD -d 217.17.41.84 -j DROP
-A FORWARD -d 217.17.41.85 -j DROP
-A FORWARD -d 217.17.41.86 -j DROP
-A FORWARD -d 217.17.41.87 -j DROP
-A FORWARD -d 217.17.41.88 -j DROP
-A FORWARD -d 217.17.41.92 -j DROP
-A FORWARD -d 217.17.41.93 -j DROP
-A FORWARD -d 217.17.41.133 -j DROP
-A FORWARD -d 217.17.41.138 -j DROP
-A FORWARD -d 217.17.41.139 -j DROP
-A FORWARD -d 217.17.41.142 -j DROP
-A FORWARD -d 217.17.45.143 -j DROP
-A FORWARD -p tcp -m multiport --dports 1550,8074 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Mon Mar 20 23:38:30 2006
# Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006
*mangle
REROUTING ACCEPT [4350:745384]
:INPUT ACCEPT [2623:218585]
:FORWARD ACCEPT [1725:526679]
:OUTPUT ACCEPT [2311:741428]
OSTROUTING ACCEPT [3993:1250239]
-A POSTROUTING -o eth1 -j TTL --ttl-set 1
COMMIT
# Completed on Mon Mar 20 23:38:30 2006
# Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006
*nat
REROUTING ACCEPT [160:20217]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Mar 20 23:38:30 2006

I Teraz :

czaty i inne pierdolki nie dzialaja - OK

poczte wysylac i odbierac mozna tylko z jedngo adresu IP - OK

P2P prawdopodobnie OFF ( emule nie laczy ) - OK

DZIALA - FTP,SSH,POCZTA,WWW,HTTPS

Mam problem z GG - po dopisaniu tego wszystkiego nadal laczy ...

widze ze polaczenai chodza tez po 443 ale jak wiadomo jest to https ... jak w inny sposob wylaczyc GG ??

WSZELKIE UWAGI mile widziane

Pozdrawiam

Zablokowac adresy serwerow GG.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Patrzac na wasze firewall podejrzewam ze akurat te linie sa za to odpowiedzialne :
-A FORWARD -d 193.17.41.48/255.255.255.248 -j DROP
-A FORWARD -d 212.77.100.16/255.255.255.248 -j DROP
-A FORWARD -d 85.232.233.10 -j DROP
-A FORWARD -d 217.17.41.82 -j DROP
-A FORWARD -d 217.17.41.83 -j DROP
-A FORWARD -d 217.17.41.84 -j DROP
-A FORWARD -d 217.17.41.85 -j DROP
-A FORWARD -d 217.17.41.86 -j DROP
-A FORWARD -d 217.17.41.87 -j DROP
-A FORWARD -d 217.17.41.88 -j DROP
-A FORWARD -d 217.17.41.92 -j DROP
-A FORWARD -d 217.17.41.93 -j DROP
-A FORWARD -d 217.17.41.133 -j DROP
-A FORWARD -d 217.17.41.138 -j DROP
-A FORWARD -d 217.17.41.139 -j DROP
-A FORWARD -d 217.17.41.142 -j DROP
-A FORWARD -d 217.17.45.143 -j DROP
-A FORWARD -p tcp -m multiport --dports 1550,8074 -j DROP

Lecz po dodaniu nadal mozna Gadowac .... moze cos ucieklo mojej uwadze ?

Nie testowalem, ale sprawdz to: http://newbie.linux.pl/?id=faq&kategoria=8&show=74

No to skaczylem .... jakies uwagi lub propozycje ??

# Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006
*filter
:INPUT DROP [37:4958]
:FORWARD DROP [0:0]
:OUTPUT DROP [26:12348]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 135,445,1550,8074 -j DROP
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 137 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 138 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 139 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
-A FORWARD -o lo -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 135,445 -j DROP
-A FORWARD -p tcp -d 213.180.130.206 -j DROP
-A FORWARD -p tcp -d 217.74.64.236 -j DROP
-A FORWARD -p tcp -d 212.77.101.148 -j DROP
-A FORWARD -p tcp -d 193.17.41.18 -j DROP
-A FORWARD -p tcp -d 193.17.41.26 -j DROP
-A FORWARD -p tcp -d 80.252.0.132 -j DROP
-A FORWARD -p tcp -d 217.74.71.252 -j DROP
-A FORWARD -p tcp -d 212.244.112.150 -j DROP
-A FORWARD -p tcp -d 193.222.135.227 -j DROP
-A FORWARD -p tcp -m ipp2p --kazaa --gnu --edk --dc --bit --apple --soul --winmx --ares -j DROP
-A FORWARD -d 212.77.100.22/29 -j DROP
-A FORWARD -p tcp -s 217.17.41.0/24 --sport 443 -d 0/0 -j DROP
-A FORWARD -p tcp -s 0/0 -d 217.17.41.0/24 --dport 443 -j DROP
-A FORWARD -p tcp -s 212.126.20.0/24 --sport 443 -d 0/0 -j DROP
-A FORWARD -p tcp -s 0/0 -d 212.17.41.0/24 --dport 443 -j DROP
-A FORWARD -p tcp -s 217.17.41.0/24 --sport 8074 -d 0/0 -j DROP
-A FORWARD -p tcp -s 0/0 -d 217.17.41.0/24 --dport 8074 -j DROP
-A FORWARD -p tcp -s 212.126.20.0/24 --sport 8074 -d 0/0 -j DROP
-A FORWARD -p tcp -s 0/0 -d 212.17.41.0/24 --dport 8074 -j DROP
-A FORWARD -d 193.17.41.48/255.255.255.248 -j DROP
-A FORWARD -d 212.77.100.16/255.255.255.248 -j DROP
-A FORWARD -d 85.232.233.10 -j DROP
-A FORWARD -d 217.17.41.82 -j DROP
-A FORWARD -d 217.17.41.83 -j DROP
-A FORWARD -d 217.17.41.84 -j DROP
-A FORWARD -d 217.17.41.85 -j DROP
-A FORWARD -d 217.17.41.86 -j DROP
-A FORWARD -d 217.17.41.87 -j DROP
-A FORWARD -d 217.17.41.88 -j DROP
-A FORWARD -d 217.17.41.92 -j DROP
-A FORWARD -d 217.17.41.93 -j DROP
-A FORWARD -d 217.17.41.133 -j DROP
-A FORWARD -d 217.17.41.138 -j DROP
-A FORWARD -d 217.17.41.139 -j DROP
-A FORWARD -d 217.17.41.142 -j DROP
-A FORWARD -d 217.17.45.143 -j DROP
-A FORWARD -p tcp -m multiport --dports 1550,8074 -j DROP
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i ! eth0 -d XXX.XXX.XXX.XXX -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -i ! eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i ! eth0 -d XXX.XXX.XXX.XXX -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i ! eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Mon Mar 20 23:38:30 2006
# Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006
*mangle
REROUTING ACCEPT [4350:745384]
:INPUT ACCEPT [2623:218585]
:FORWARD ACCEPT [1725:526679]
:OUTPUT ACCEPT [2311:741428]
OSTROUTING ACCEPT [3993:1250239]
-A POSTROUTING -o eth1 -j TTL --ttl-set 1
COMMIT
# Completed on Mon Mar 20 23:38:30 2006
# Generated by iptables-save v1.3.4 on Mon Mar 20 23:38:30 2006
*nat
REROUTING ACCEPT [160:20217]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Mar 20 23:38:30 2006


Dzieki za odzew.

Odpal neta tylko przez proxy i ustaw dostęp za hasłem tak większość firm ma, areszte zablokuj.

_________________
nnd-linux-0.1-2005.07.10 Pentium II 400 Ram-256 2XHDD-10GB

Co masz na myśli? Hasło w sambie czy jaieś inne?

PS
Czy da się tak napisać firewalla by łączyli się tylko ludzie należacy np do utworzonej grupy INTERNET?

_________________
Coś jest trudne zanim jest łatwe

hmm w prawdzie nie mam freesco tylko slacka, ale uwazam ze blokada emula przez porty to tragiczne rozwiazanie. zdarzylo mi sie widziec p2p odpalone na porcie 80.. polecam 7Layer. no i przy uzyciu tej latki z pewnoscia mozna lepiej gg obciac niz po adresie serwerow.

Mam namyśli Proxy Squid i autoryzacje hasłem
Uwaga! W przypadku autoryzowania użytkowników serwer Proxy nie może pracować w trybie transparentnym.

Opis masz tu http://bofh.vt.pl/squid.html

_________________
nnd-linux-0.1-2005.07.10 Pentium II 400 Ram-256 2XHDD-10GB