Debians förberedda brandväggar
--- Helgi Örn Helgason <sacredeagle@gmail.com> skrev:
>
> 18 aug 2006 kl. 18.40 skrev Johan Mattsson:
>
> > Tore Ericsson wrote:
> >> fredag 18 augusti 2006 18:28 skrev mattias
> jonsson:
> >>> har debian inbyggd brandvagg?
> >> Svar: Nej.
> >>
> >
> > Inget operativsystem har brand vägg inbyggt i så
> fall, eller har jag
> > missat något?
> Svaret borde rimligen vara _nej och ja_.
> Nej, inga operativsystem har _brand vägg_, men många
> har _brandvägg_.
> Ja, det finns operativsystem med inbyggda
> brandväggar, Mac OS X t.ex.
>
> Tuus,
> HÖ
>
Jag vill säga några ord om möjligheterna att i Debian
förbereda filtrerande brandväggar, vilka alltid finns
tillgängliga och som andra utgåvor likt Fedora alltid
finns förberedda. Det hela bygger på Debians kommandon
ifup och ifdown samt inställningsfilen interfaces.
Min tanke är att var och en av er hädanefter skall
kunna bygga denna säkerhet på egen hand.
Detta har jag infogat i filen /etc/network/interfaces.
#
iface eth0 inet dhcp
name Ethernet, nätverkskort
pre-up /usr/local/sbin/brandskal2.sh $IFACE
#auto eth0
#
Den sista bortkommenterade raden ser till att jag
ensam bestämmer när nätverksenheten skall igångsättas.
Ett enkelt kommando
su -c 'ifup eth0'
kommer nu att först bygga upp min brandvägg enligt
brandskal2.sh och därefter (tack vare pre-up)
att öppna eth0 för trafik, inlett av att en
dhcp-förfrågan (p.g.a. dhcp i iface-raden) går ut till
min kabelanslutning. Fler upplysningar om åtgärderna
finner man genom ett "man interfaces" och texten
för brandskal2.sh ligger sist i denna betraktelse.
Vill jag av någon anledning avbryta
all trafik över eth0 kan jag nyttja
su -c 'ifconfig eth0 down' och senare su
-c 'ifconfig eth0 up'
eller för en slutlig nedtagning
su -c 'ifdown eth0'
Detta senare förfarande kräver ett nytt " ifup eth0 "
för förnyad nätåtkomst och därmed ny dhcp-sökning.
Åtgärden "pre-up /hel/soekvaeg/order.sh $IFACE"
här ovan, fogar sig egentligen i vilka åtgärder som
helst, men jag har lånat en minimal brandvägg av Tero
Karvinen för att säkra att jag har fri trafik utåt,
så att ingen och intet (utom icmp-ping) kan nå in i
min maskin utan att jag upprättat en aktiv
förbindelse.
Naturligtvis kan avgjort mer invecklade skyddsåtgärder
köras, rent av sådana tillskapade av Fireguard,
Shorewall och allt vad de nu heter.
Denna redogörelse är bara tänkt som en inledning
till Debians möjligheter.
Mats E Andersson, ynglingatal@yahoo.se,
mea@fri.nu
#!/bin/sh
# brandskal.sh - Grundlaeggande brandvaegg foer
arbetsstation eller servrar
# (c) Tero Karvinen
# Rensa gammalt gods och uppraetthaall samtidigt
saekerheten
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables --flush # Kasta alla regler, men
spara gaellande verkansregel
iptables --delete-chain
#
## Minimal brandvaegg foer arbetsstationer ##
#
iptables -P FORWARD DROP # Verkansregel: kasta
hellre aen att riskera naagot
iptables -P INPUT DROP
iptables -A INPUT -i lo --source 127.0.0.1
--destination 127.0.0.1 -j ACCEPT # Lokal maskin
iptables -A INPUT -m state --state
"ESTABLISHED,RELATED" -j ACCEPT #
Uppraettad trafik fortgaar
iptables -A INPUT -p icmp --icmp-type
destination-unreachable -j ACCEPT # Trafiksvar
kan godtagas
iptables -A INPUT -p icmp --icmp-type time-exceeded -j
ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j
ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j
ACCEPT
#
##### Borra smaa haal i vaeggen #### Avlaegsna
braedgaarden foer att tillaata trafikslaget
#
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT
#iptables -A INPUT -p tcp --dport http -j ACCEPT
#iptables -A INPUT -p tcp --dport https -j ACCEPT
#
##### Aendringar bara ovanfoer denna rad
#
iptables -A INPUT -j LOG -m limit --limit 40/minute #
Inkommande trafiken skall bokfoeras
iptables -A INPUT -j DROP #
Kastas all inkommande trafik redan i tabellslutet!
#
##### Spara en redogoerelse
#
iptables-save > /etc/sysconfig/iptables # Denna
katalog saknas vanligen i Debian
echo "$0: Klart."
#
### Aktivering 'chmod u+x brandskal.sh' och './brandskal.sh'
Reply to: