Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 











Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum

Jazyk
Výber jazykovej mutácie:




* : Staviame si jednoduchy firewall
Odoslané 07.08.2004 - 20:20
Odoslať článok priateľovi Odošli priateľovi  Formátuj pre tlač stránky Vytlač tento článok





Ako nastavit a spustit fw.
Predpoklady:
Router 10.100.0.1 s eth0 rozhranim a verejnou ip adresaou 100.200.300.400 ktorym sa pripaja do netu a na ktorom bezi maskarada.
Tento fw je robeny pomocou iptables a kedze je pomerne jednoduchy na pochopenie moze vam pomoct pri konfiguracii svojho routera. Fw je robeny pre Slackware, cize cesty sa mozu jemne odlisovat ale v principe je kazdy linux pomerne rovnaky, takze staci si upravit cesty a je funckny.
Spustenie fw si zabezpecime pomocou skriptu ktory sa nam spusta po restarte routra v mojom pripade je to subor v /etc/rc.d/ kde mam inetovy sietovy skript v ktorom sa okrem inych veci nachadza aj nieco taketo:
#nahodenie firewallu
/etc/rc.d/rc.firewall

Tento riadok sposobi, ze sa po starte spusti subor rc.firewall. Obsah tohoto suboru moze vyzerat nasledovne.

#!/bin/sh

#Toto sluzi na zresetovanie pravidiel fw po kazdom restarte scriptu pre pripad, ze sme nieco zle nastavili pocas behu routera
/usr/sbin/iptables --flush
/usr/sbin/iptables --flush -t nat


#nastavenie maskarady pre rozsah 10.100.0.0 az 10.100.255.255 (zdrojove adresy) na vsetky adresy okrem 10.0.0.0 az #10.255.255.255...znak ! znamena negaciu cize okrem...inymi slovami vsetko v ramci vnutornej siete nie je maskaradovane #vsetko co ide von je
/usr/sbin/iptables -t nat -A POSTROUTING -s 10.100.0.0/16 -d ! 10.0.0.0/8 -o eth0 -j MASQUERADE


#pop3 rozhranie sluziace na prijem posty...z bezpecnostnych dovodov umoznene len z vnutornych ip odporucam vsak zrusit a #pouzivat pop3s...10.200.300.400 je verejna ip adresa naseho postoveho servera
/usr/sbin/iptables -A INPUT -p tcp -s 10.100.0.0/16 -d 100.200.300.400 --dport 110 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp -s 100.200.300.400 -d 100.200.300.400 --dport 110 -j ACCEPT
#vsetky ostatne pokusy o pripojenie zvonku budu odmietnute
/usr/sbin/iptables -A INPUT -p tcp -d 100.200.300.400 --dport 110 -j REJECT


#imap v podstate plati to iste co pre pop3 odporucame prejst na imaps...kedze imap funguje trosku inak ako pop3 je syntax #trosku ina
/usr/sbin/iptables -A INPUT -p tcp -s 127.0.0.1 --dport 143 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp -s 100.200.300.400 --dport 143 -j ACCEPT
#odmietne vsetky spojenia okrem uz vopred definovanych
/usr/sbin/iptables -A INPUT -p tcp -s 0/0 --dport 143 -j REJECT

#zakazanie monitoringu mimo privatnych ip adries...udp protokol
/usr/sbin/iptables -A INPUT -p udp -s 127.0.0.1 --dport 161 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp -s 0/0 --dport 161 -j REJECT


#nastavenie firewallu na smbporty z vonkajsej IP...inymi slovami znemozni pristup ku sambe zvonka...nie je vhodne
/usr/sbin/iptables -A INPUT -p tcp -d 100.200.300.400 --dport 139 -j REJECT


#vo vnutri siete dovolim vsetkym...povolime vsetky protokoly na vnutornej sieti
/usr/sbin/iptables -A FORWARD -s 10.100.0.0/16 -d 10.100.0.0/16 -j ACCEPT


#aby boli previazane len registrovane ethernetky a IPcky: definujem zoznam povolenych mac a ip adries
#povolim definovane IP vsade...
#lokalny segment - inymi slovami povolujem klientovi s mac adresou 00:00.....a s ip adresou 10.100.0.100 pristup na siet
/usr/sbin/iptables -A FORWARD -s 10.100.0.100 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
/usr/sbin/iptables -A FORWARD -d 10.100.0.100 -j ACCEPT
........................................................
........................................................


#a vsetko ostatne prichadzajuce z vnutornej siete zakazem...
/usr/sbin/iptables -P FORWARD DROP


#aby nam nahodou do uplinkoveho interfejsu neutiekli privatne ip
/usr/sbin/iptables -I FORWARD -d 10.0.0.0/8 -o eth0 -j DROP

#toto je len zaklad samozrejme pravidla mozeme rozsirovat na akekolvek chceme a co len chceme staci si precitat man iptables #pripadne nejake howto na internete pripadne sa spolahnut na dobrych ludi;o))

#end of script
#thanks to si;o))

Samozrejmostou je dhcp server, ktory prideli klientom spravne ip adresy na zaklade mac adresy, fw nam vlastne len umozni akceptovat prichadzajuce packety od danej mac a ip a urcit tag trochu aj dalsiu politiku (napr postu, ftp, p2p a pod). Na zaver si vysledok nasej prace mozeme skontrolovat prikazom iptables -L, kde sa nam zobrazia nase pravidla.
P.S. Ti skusenejsi si urcite vsimli, ze napr na inpute ale je vsetko povolene a mozu namietat, ze to nie je bezpecne, resp preco sa neriesi vsetko na urovni inputu defaultnym dropom ako u forwardu....no vsetko ma svoje za a proti a ja som sa snazil aby bol fw co najjednoduchsi a lahko pochopitelny pre zaciatocnika.
stranka ktoru by ste mali navstivit - www.netfilter.org

 
· Viac o Ako na to?
· Novinky od fleg


Most read story in Ako na to?:


(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)