stacja robocza i firewall
Witam wszystkich grupowiczow
Moj komputer stoi sobie w zalozonej przez pewna duza firme
sieci osiedlowej. Mimo ze nie mialem dotychczas zadnych wlamow
do kompa (pare wirusow z neta, jak siedzialem w windowsie)
to chcialbym sobie profilaktycznie zabezpieczyc Debiana
firewall'em.Nadmieniam ze chcialbym postawic u siebie
serwer www, oczyw. dostepne tylko na siec lokalna.
Nadmieniam ze (jak to od czasu do czasu widze na czyjejs
sygnaturce) wiem o sieci tyle co o chodowli swin. Przynajmniej
do tego wniosku doszedlem od kiedy zaczalem sie interesowac Linux'em.
Otoz wiec sklecilem sobie taki skrypcik:
**********************************************
#!/bin/bash
if [ "$1" = "start" ]; then
iptables -P INPUT DROP
echo "Akceptuje lokalne"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "Akceptuje polaczenia juz nawiazane"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Zezwalam na PING'i"
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
echo "Zezwalam na WWW"
iptables -A INPUT -p tcp -d 0/0 --dport www -j ACCEPT
echo "Zalatwiam klopot z ftp'ami"
iptables -A INPUT -p tcp --sport 1024: --dport 113 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
echo "Reszte loguje"
iptables -A INPUT -j LOG -m limit --limit 10/hour
echo "I zatrzymuje"
iptables -A INPUT -j DROP
echo "Firewall wystartowany..."
elif [ "$1" = "stop" ]; then
echo "Zatrzymanie Firewalla..."
iptables -F INPUT
iptables -P INPUT ACCEPT
fi
************************************************
- nadaje mu prawa wykonywania i nazwe ,,firewall''
- wrzucam do /etc/init.d
- tworze do niego link symboliczny w /etc/rc2.d
o nazwie ,,S20firewall''
- po restarcie skrypt dziala i blokuje to co chcialem
Teraz pytania:
- czy to co sklecilem ma sens i czy wogole chroni?
- jesli tak, to co zrobic z ogromna iloscia logow
na konsoli i w logach (w tej sieci sa chyba same windowsy)?
- cos dodac/usunac, jakies wskazowki?
(opieralem sie na tym co znalazlem w necie)
- czy wszystko co zrobilem jest zgodne z polityka Debiana?
(i wogole z Linuxem :-)
- czy da sie zrobic firewall'a, zebym widzial
otoczenie sieciowe w sambie (teraz oczywiscie
go nie widze)?
Bede wdzieczny za jakies wskazowki/linki
Nadmieniam ze w angielskim to ja tak sobie :-/
i 'man iptables' to dla mnie dosc ciemna magia
szczegolnie ze chodzi tu o sieci.
Pozdrawiam wszystkich
Krzysiek
--
********************************
** Krzysztof Krupa **
** GG: 1104936 **
** chemiczek@poczta.onet.pl **
********************************
Reply to: