iptables configurálás

Kezdőlap Fórumok UHU Linux Általános UHU problémák, javaslatok iptables configurálás

10 bejegyzés megtekintése - 1-10 / 15
1 2
  • Szerző
    Bejegyzés
  • 2003-06-30-14:14 #1908129
    paca5
    Felhasználó

      http://linuxportal.hu/?lp=dokumentumok/hal…ipt%20Generator
      Probáld ki ezt..

      2003-06-30-14:28 #1908130
      zoral
      Felhasználó

        http://morizot.net/firewall/gen/

        szerintem meg ezt, mert ez nem 0.0.1 es verziószámot visel, paraméterezhetõbb és szerintem még jó is 🙂

        2003-06-30-14:37 #1908131
        gabaman
        Felhasználó

          kitöröltem próba kép azt a sort, ami az FTP engedélyezi az INPUT láncon.

          2003-06-30-14:47 #1908132
          gabaman
          Felhasználó

            Magyarországon sajnos rengeteg számítógépben található olyan illegálisan bejuttatott program, amely lehetõvé teszi azt, hogy a tulajdonos tudta és beleegyezése nélkül az Internet, vagy a belsõ (céges) hálózat egy másik számítógépérõl – minimális számítástechnikai ismeretek birtokában – bárki beléphessen a számítógépbe, és ott adatokat töröljön, információkat, jelszavakat stb. lopjon a gépbõl, észrevétlenül adatokat módosítson a számítógépben, kompromittáló anyagokat töltsön fel a gépre, vagy egyszerûen lehetetlenné tegye a számítógép további mûködését, ezért mi – akik eddig békés Internet felhasználók voltunk – egyes rosszindulatú „hackerek” számítógép-betöréseit megelégelve virtuális indián törzset alapítottunk, és kiástuk a csatabárdot.

            http://wigwam.sztaki.hu

            2003-06-30-16:39 #1908133
            arnyek
            Felhasználó

              Hát, elõször engedélyezel mindent, majd egyenként megerõsíted a megengedést?

              Na igen, ez nekem is gynús volt, de ha a neten így volt, én hittem neki…

              Az INPUT láncot szûröd ezekkel a megadott szabályokkal, akkor ugye van DNS, WWW, FTP, mail szereved?

              Várj, várj! Most bajban vagyok! Ha például

              2003-06-30-17:05 #1908134
              gabaman
              Felhasználó

                Valaki beszúrhatna egy gyors iptables configot, csak láthatatlan akarok lenni kifelé, nem futtatok semmilyen szervert, (illetve ICQ, DC), FTP-zni akarok, böngészni, IRC, ICQ, DC. Ennyi.
                Csak egy gyors vázlatot kérek plz!

                Ez az amit nem lehet. Láthatatlan? Ha tudnád mennyi infót lehet lekérni a gépedrõl. Esetleg egy belõtt squid segithet egy kicsit, de csak ha a böngészõ proxy-n keresztül megy ki.

                2003-07-02-18:22 #1908135
                arnyek
                Felhasználó

                  Hát, elõször engedélyezel mindent, majd egyenként megerõsíted a megengedést?  Ha a megerõsítõ engedélyezést kihagyod, akkor az alapszabály (az ACCEPT) lép életbe…

                  De az utolsó sor az dob mindent, ami átment az azt megelõzõ szabályokon:
                  iptables -A INPUT -i eth0 -j LOGDROP
                  Tehát olyan, mintha iptables -P INPUT DROP lenne.
                  Vagy nem?

                  De mindegy, azóta már újat írtam 🙄
                  Ha kész lesz bemásolom. Gabaman, ha nem gond majd vethetnél rá egy pillantást és várom az építõ jellegû kritikát.

                  2003-07-02-19:07 #1908136
                  arnyek
                  Felhasználó

                    Tehát álljon alább az új iptables configurációm. Mint látjátok elég primitív 😳
                    De majd belejövök 😀

                    iptables -P FORWARD DROP
                    iptables -P INPUT DROP
                    iptables -P OUTPUT DROP

                    iptables -F
                    iptables -X

                    # http
                    iptables -A INPUT -p tcp –sport 80 –dport 1024:5999 -j ACCEPT
                    iptables -A INPUT -p tcp –sport 8080 –dport 1024:5999 -j ACCEPT
                    iptables -A INPUT -p tcp –sport 8008 –dport 1024:5999 -j ACCEPT
                    iptables -A INPUT -p tcp –sport 8000 –dport 1024:5999 -j ACCEPT
                    iptables -A OUTPUT -p tcp –sport 1024:5999 –dport 80 -j ACCEPT
                    iptables -A OUTPUT -p tcp –sport 1024:5999 –dport 8080 -j ACCEPT
                    iptables -A OUTPUT -p tcp –sport 1024:5999 –dport 8008 -j ACCEPT
                    iptables -A OUTPUT -p tcp –sport 1024:5999 –dport 8000 -j ACCEPT

                    # https
                    iptables -A OUTPUT -p tcp –sport 1024:5999 –dport 443 -j ACCEPT
                    iptables -A INPUT -p tcp –sport 443 –dport 1024:5999 -j ACCEPT

                    # domain
                    iptables -A OUTPUT -p tcp –sport 0:65535 –dport 53 -j ACCEPT
                    iptables -A OUTPUT -p udp –sport 0:65535 –dport 53 -j ACCEPT
                    iptables -A INPUT -p tcp –sport 53 –dport 0:65535 -j ACCEPT
                    iptables -A INPUT -p udp –sport 53 –dport 0:65535 -j ACCEPT

                    # irc
                    iptables -A OUTPUT -p tcp –sport 1024:5999 –dport 6667 -j ACCEPT
                    iptables -A INPUT -p tcp –sport 6667 –dport 1024:5999 -j ACCEPT

                    # ftp
                    iptables -A OUTPUT -p tcp –sport 1024:5999 –dport 21 -j ACCEPT
                    iptables -A INPUT -p tcp –sport 21 –dport 1024:5999 -j ACCEPT

                    2003-07-02-20:37 #1908137
                    gabaman
                    Felhasználó

                      Nem akarlak megbántani, és értékelem az igyekezetedet. A leírt szabályokról inkább nem mondanék semmit, másrészt nem is nagyon tudom, valóban megfelelõk-e (nem tudom pontosan mit is kell megvédeni). Nem egy Nagy Szent Tûzfalat kell építeni, hanem a konfigutációnak és a biztonsági elvárásoknak megfelelõ megoldást kell megvalósítani. Persze sok esetben vannak általános megoldások, de ezek nem hatékonyak vagy nagy részük felesleges. Ha csak egy géprõl internetezel, akkor a következõ szabályok szinte tökéletesek:

                      iptables -F
                      iptables -X

                      iptables -P INPUT DROP
                      iptables -P FORWARD DROP
                      iptables -P OUTPUT ACCEPT

                      iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

                      Ez megfelelõ védelem, mert csak a visszatérõ válaszcsomagok jutnak be a gépre, semmi más (ettõl közel tökéletes). Egyedül azokkan az oldalakkal lesz gond, ahol egy portot nyit meg pl. egy Java alkalmazás (pl. chat), de csak a port címet kell megtudni és engedélyezve. A kimenõ kéréseket csak különlegesen indokolt esetben érdemes letiltani, egyébként csak mazohizmus. Extraként lehet a különbözõ potrok elérését naplózni (lásd a lenti link, a -j DENY -l végûek), de ez otthoni használatnál csak érdekesség.

                      Ha P2P (fájlmegosztó) szoftvert használsz, akkor külön kell engedélyezni a portjait.

                      Ha több gép, vagy szerver szolgáltatások vannak, akkor annak megfelelõen kell a szabályokat bõvíteni.

                      http://wigwam.sztaki.hu/linux/ipchains_minta2.shtml

                      2003-07-04-09:40 #1908138
                      arnyek
                      Felhasználó

                        Gabaman, köszi a válaszod! Még csak most tanulgatom az iptables használatát, szóval minden kritikát szivesen fogadok. Megfogadom tanácsod, és az általad írt config-ot fogom használni.

                        Végre, értem ezt a sort is: 🙂

                        iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

                        THX

                      • Szerző
                        Bejegyzés
                      10 bejegyzés megtekintése - 1-10 / 15
                      1 2
                      • Be kell jelentkezni a hozzászóláshoz.