Re: stacja robocza i firewall

To: debian-user-polish@lists.debian.org
Subject: Re: stacja robocza i firewall
From: Andrzej Dalasinski <yanek@kis.p.lodz.pl>
Date: Tue, 27 May 2003 16:14:06 +0200
Message-id: <20030527141406.GB18043@ocelotl.eu.org>
Mail-followup-to: debian-user-polish@lists.debian.org
Reply-to: yanek@kis.p.lodz.pl
In-reply-to: <20030527122520.GA1417@krzysiekk>
References: <20030527122520.GA1417@krzysiekk>

Dnia Tue, May 27, 2003 at 02:25:20PM +0200 krzys napisał/a:
> Witam wszystkich grupowiczow
witam, ja znam sie na tym zdecydowanie lepiej niz na chodwli swin
(x/0 zawsze jest sporo  jesli x >>0 ;)

ale:
> #!/bin/bash
> if [ "$1" = "start" ]; then
...ladniej bedzie "case" (przejrzyj pliki w /etc/init.d) [taka mala uwaga -
 absolutnie nie wplywająca na dzialanie, tylko na estetyke kodu ;) ]

> iptables -P INPUT DROP
do tego proponuje ustawic policy rowniez na:
-P FORWARD -j DROP (jesli nie masz routerka na kompie, a pewnie nie masz..)
-P OUTPUT -j ACCEPT (chyba nie ma sensu odcinac wyjscia)

> echo "Akceptuje lokalne"
> iptables -A INPUT -i lo -j ACCEPT
jasna sprawa.

> echo "Akceptuje polaczenia juz nawiazane"
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> echo "Zezwalam na PING'i"
> iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
inne icmp wywalasz? w sumie...

> echo "Zezwalam na WWW"
> iptables -A INPUT -p tcp -d 0/0 --dport www -j ACCEPT
-d 0/0 niekonieczne/niewskazane

> echo "Zalatwiam klopot z ftp'ami"
> iptables -A INPUT -p tcp --sport 1024: --dport 113 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
jaki klopot?

> echo "Reszte loguje"
> iptables -A INPUT -j LOG -m limit --limit 10/hour
eee tam, odpusc sobie...

> echo "I zatrzymuje"
> iptables -A INPUT -j DROP
to bez sensu, przeciez masz policy DROP

> - czy to co sklecilem ma sens i czy wogole chroni?
> - jesli tak, to co zrobic z ogromna iloscia logow
>   na konsoli i w logach (w tej sieci sa chyba same windowsy)?
wywalic logowanie (a odpalic sobie ew. cos za firewalem). 

> - czy wszystko co zrobilem jest zgodne z polityka Debiana?
>   (i wogole z Linuxem :-)
Imho linuxa tak, debiana nie bardzo, debina ma jakies swoje iptaables-save i
load czy jakos tak, niech sie wypowie ktos kto uzywa.

> - czy da sie zrobic firewall'a, zebym widzial
>   otoczenie sieciowe w sambie (teraz oczywiscie
>   go nie widze)?
-m multiport --multiport 137:139 -j ACCEPT
albo po koleji porty 137, 138 i 139 jesli nie masz wkompilowanego multiport
w jajo.

> Bede wdzieczny za jakies wskazowki/linki
najlepiej by bylo poprosić kogoś (albo jeśli masz dostęp do jakiejś maszyny
lokalnie) przeskanować sobie porty jakimś "chackerskim" ;> narzędziem.

> Nadmieniam ze w angielskim to ja tak sobie :-/
> i 'man iptables' to dla mnie dosc ciemna magia
> szczegolnie ze chodzi tu o sieci.
pozdrawiam i mam nadzieję, że ktoś uzupełni, jeśli coś pominąłem
(przypadkowo lub z niewiedzy).

yanek

PS:
Miło czytać jak "nowi" (nie obraź się proszę) zadają konkretne pytania.


-- 
,,Weź przeczytaj chociaż jeden dokument o systemie DNS.
  Bo odnoszę wrażenie, że wiesz o tym tyle co ja o hodowli świń.''
- Bartosz Feński aka fEnIo (@ debian-user-polish@lists.debian.org)

Reply to:

Follow-Ups:
- Re: stacja robocza i firewall
  - From: Jacek Kawa <jfk@zeus.polsl.gliwice.pl>
- Re: stacja robocza i firewall
  - From: rafi@jabberpl.org (Rafal Czlonka)

References:
- stacja robocza i firewall
  - From: chemiczek@poczta.onet.pl (krzys)

Prev by Date: Re: sco .. ci±g dalszy
Next by Date: Re: stacja robocza i firewall
Previous by thread: stacja robocza i firewall
Next by thread: Re: stacja robocza i firewall
Index(es):
- Date
- Thread