Re: stacja robocza i firewall
Dnia Tue, May 27, 2003 at 02:25:20PM +0200 krzys napisał/a:
> Witam wszystkich grupowiczow
witam, ja znam sie na tym zdecydowanie lepiej niz na chodwli swin
(x/0 zawsze jest sporo jesli x >>0 ;)
ale:
> #!/bin/bash
> if [ "$1" = "start" ]; then
...ladniej bedzie "case" (przejrzyj pliki w /etc/init.d) [taka mala uwaga -
absolutnie nie wplywająca na dzialanie, tylko na estetyke kodu ;) ]
> iptables -P INPUT DROP
do tego proponuje ustawic policy rowniez na:
-P FORWARD -j DROP (jesli nie masz routerka na kompie, a pewnie nie masz..)
-P OUTPUT -j ACCEPT (chyba nie ma sensu odcinac wyjscia)
> echo "Akceptuje lokalne"
> iptables -A INPUT -i lo -j ACCEPT
jasna sprawa.
> echo "Akceptuje polaczenia juz nawiazane"
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> echo "Zezwalam na PING'i"
> iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
inne icmp wywalasz? w sumie...
> echo "Zezwalam na WWW"
> iptables -A INPUT -p tcp -d 0/0 --dport www -j ACCEPT
-d 0/0 niekonieczne/niewskazane
> echo "Zalatwiam klopot z ftp'ami"
> iptables -A INPUT -p tcp --sport 1024: --dport 113 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
jaki klopot?
> echo "Reszte loguje"
> iptables -A INPUT -j LOG -m limit --limit 10/hour
eee tam, odpusc sobie...
> echo "I zatrzymuje"
> iptables -A INPUT -j DROP
to bez sensu, przeciez masz policy DROP
> - czy to co sklecilem ma sens i czy wogole chroni?
> - jesli tak, to co zrobic z ogromna iloscia logow
> na konsoli i w logach (w tej sieci sa chyba same windowsy)?
wywalic logowanie (a odpalic sobie ew. cos za firewalem).
> - czy wszystko co zrobilem jest zgodne z polityka Debiana?
> (i wogole z Linuxem :-)
Imho linuxa tak, debiana nie bardzo, debina ma jakies swoje iptaables-save i
load czy jakos tak, niech sie wypowie ktos kto uzywa.
> - czy da sie zrobic firewall'a, zebym widzial
> otoczenie sieciowe w sambie (teraz oczywiscie
> go nie widze)?
-m multiport --multiport 137:139 -j ACCEPT
albo po koleji porty 137, 138 i 139 jesli nie masz wkompilowanego multiport
w jajo.
> Bede wdzieczny za jakies wskazowki/linki
najlepiej by bylo poprosić kogoś (albo jeśli masz dostęp do jakiejś maszyny
lokalnie) przeskanować sobie porty jakimś "chackerskim" ;> narzędziem.
> Nadmieniam ze w angielskim to ja tak sobie :-/
> i 'man iptables' to dla mnie dosc ciemna magia
> szczegolnie ze chodzi tu o sieci.
pozdrawiam i mam nadzieję, że ktoś uzupełni, jeśli coś pominąłem
(przypadkowo lub z niewiedzy).
yanek
PS:
Miło czytać jak "nowi" (nie obraź się proszę) zadają konkretne pytania.
--
,,Weź przeczytaj chociaż jeden dokument o systemie DNS.
Bo odnoszę wrażenie, że wiesz o tym tyle co ja o hodowli świń.''
- Bartosz Feński aka fEnIo (@ debian-user-polish@lists.debian.org)
Reply to: