Re: firewall

To: debian-user-polish@lists.debian.org
Subject: Re: firewall
From: Shrek <maillist@wiewi0ra.hopto.org>
Date: Mon, 18 Apr 2005 19:41:41 +0200
Message-id: <[🔎] 4263F155.5040401@wiewi0ra.hopto.org>
In-reply-to: <[🔎] 42638AF7.7070104@interia.pl>
References: <[🔎] 42638AF7.7070104@interia.pl>

Użytkownik Łukasz Wójcik napisał:

Witam,
mam taki skrypt firewall'a uruchomiony.

[...]

Twój firewall wskazuje, że nie rozumiesz działania iptables ifirewall'a. Dlaczego tak sądzę??!!??

1. Na ogół definicję ściany ogniowej zaczynasz od definicji politykdomyślnych (iptables -P łańcuch polityka) i na ogół wszystko jestblokowane. Sprowadza się to więc do zapisu:


iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -P INPUT DROP

Wygodniej ochronić się blokując domyślnie wszystko i odblokowując tylkoto co niezbędne ;)


	2. Odblokować trzeba odblokować transmisję na systemowym interfac'ie lo:

iptables -I OUTPUT -o lo -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT


	3. Nie zdefiniowałeś co zrobić transmisją już nawiązaną:

iptables -A łańcuch -m state --state ESTABLISHED,RELATED -j polityka

na ogół:

iptables -P OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P FORWARD  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

	4. Maskarada składa się de facto z przynajmniej dwóch definicji:
- w tabeli filter:

iptables -A FORWARD -s ip_source -p tcp --dport port_dsc -j ACCEPT

i jeśli nie mapujesz portów zewnętrznych nie masz co definiować, jak tonazwałeś, 'świat do mnie'.


- w tabli nat

iptables -t nat -A POSTROUTING -s ip_source -j MASQUERADE

Nie rozumiem dlaczego zezwalasz na transfer na tak dziwnych portach.

5. Musisz zdefiniować przynajmniej dwie pozycje dla łańcucha INPUTdefiniujące na których portach można 'wejść na serwer'..


- Dla klientów z sieci lokalnej.

iptables -A INPUT -s ip_source -p tcp --dport port -j ACCEPT

- Dla klientów z internetu.

iptables -A INPUT (-s ip_source | i eth_in) -p tcp --dport port -j ACCEPT

6. Wypadałoby też zdefiniować jakie usługi są osiągalne z serwera nazewnątrz.


iptables -A OUTPUT -p tcp --dport port -j ACCEPT

Podany powyżej algorytm jest bardzo ogólnikowy i nie jest 'jedyniesłusznym rozwiązaniem'. Jest wiele sposobów na poprawne zabezpieczeniesię przed intruzami. Nie wspomniałem tu o wielu ważnych rzeczach (udp,icmp, ...). Mogłem też popełnić kilka literówek.



	Powodzenia i czytaj, szukaj, szukaj, czytaj ;).

Reply to:

References:
- firewall
  - From: Łukasz Wójcik <whateva@interia.pl>

Prev by Date: Re: firewall
Next by Date: Re[2]: Debian + qmail+mailbox jaki imap
Previous by thread: Re: firewall
Next by thread: Uszkodzony obszar dysku
Index(es):
- Date
- Thread