Re: firewall
Użytkownik Łukasz Wójcik napisał:
Witam,
mam taki skrypt firewall'a uruchomiony.
[...]
Twój firewall wskazuje, że nie rozumiesz działania iptables i
firewall'a. Dlaczego tak sądzę??!!??
1. Na ogół definicję ściany ogniowej zaczynasz od definicji polityk
domyślnych (iptables -P łańcuch polityka) i na ogół wszystko jest
blokowane. Sprowadza się to więc do zapisu:
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -P INPUT DROP
Wygodniej ochronić się blokując domyślnie wszystko i odblokowując tylko
to co niezbędne ;)
2. Odblokować trzeba odblokować transmisję na systemowym interfac'ie lo:
iptables -I OUTPUT -o lo -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT
3. Nie zdefiniowałeś co zrobić transmisją już nawiązaną:
iptables -A łańcuch -m state --state ESTABLISHED,RELATED -j polityka
na ogół:
iptables -P OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
4. Maskarada składa się de facto z przynajmniej dwóch definicji:
- w tabeli filter:
iptables -A FORWARD -s ip_source -p tcp --dport port_dsc -j ACCEPT
i jeśli nie mapujesz portów zewnętrznych nie masz co definiować, jak to
nazwałeś, 'świat do mnie'.
- w tabli nat
iptables -t nat -A POSTROUTING -s ip_source -j MASQUERADE
Nie rozumiem dlaczego zezwalasz na transfer na tak dziwnych portach.
5. Musisz zdefiniować przynajmniej dwie pozycje dla łańcucha INPUT
definiujące na których portach można 'wejść na serwer'..
- Dla klientów z sieci lokalnej.
iptables -A INPUT -s ip_source -p tcp --dport port -j ACCEPT
- Dla klientów z internetu.
iptables -A INPUT (-s ip_source | i eth_in) -p tcp --dport port -j ACCEPT
6. Wypadałoby też zdefiniować jakie usługi są osiągalne z serwera na
zewnątrz.
iptables -A OUTPUT -p tcp --dport port -j ACCEPT
Podany powyżej algorytm jest bardzo ogólnikowy i nie jest 'jedynie
słusznym rozwiązaniem'. Jest wiele sposobów na poprawne zabezpieczenie
się przed intruzami. Nie wspomniałem tu o wielu ważnych rzeczach (udp,
icmp, ...). Mogłem też popełnić kilka literówek.
Powodzenia i czytaj, szukaj, szukaj, czytaj ;).
Reply to:
- References:
- firewall
- From: Łukasz Wójcik <whateva@interia.pl>