Linux jako firewall

**Marty** · 02.05.2004, 18:10

Mam debianovej router, na nem 2.6.4 a iptables -
a zajima mne, jak efektivne nastavit pravidla tak, abych se co nejvice branil jakymukoli nebezpeci.

Bezi mi toho tam dost, mimo jine samba, takze mam vetsinu portu blokovanou zvenku pomoci

-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j DROP

pak mam forwardly port dovnitr site na ftp (bohuzel jen passive, tak by me taky zajimalo jak to udelat na active)

-A PREROUTING -d $extip -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.1.2:21

no, a co blokovat na UDP, ICMP, nebo je lepsi blokovat vse
-A INPUT -i eth1 -p all -j DROP nebo jak?

a povolit jen to co chci pouzivat (20,21,22,80) zvenku?

Jak to kdo mate nastavene?

**Rainbow** · 02.05.2004, 18:48

http://www.root.cz/clanek/980

**Marty** · 02.05.2004, 19:39

Původně odeslal Rainbow

http://www.root.cz/clanek/980

skvele, podle toho si to nastavim

dekuji.

**Rainbow** · 02.05.2004, 19:43

Na konci je aj nejaky skript - je to dobry zaklad pre nastavenie

**Marty** · 02.05.2004, 21:40

Uz mi to fachci, parada, akorat mam jeste par problemku s IRC, jinak nadhera. Akorat bylo zabavne kdyz jsem v blazene nevedomosti napsal v okne ssh
iptables -A INPUT -j DROP

**Rainbow** · 02.05.2004, 21:44

Mne sa raz tiez nieco podobne podarilo - chcel som ten firewall vypnut, tak som zrusil vsetky pravidla, ale nenastavil som policy na accept

Tak som potom isiel resetovat router

Potom som to prerobil tak, aby sa to dalo pouzivat ako ostatne startup skripty v Slackware - s paramatrami start, stop a restart.

**Marty** · 02.05.2004, 21:49

Hehe, ja restartovat nemusel, jen jsem pripojil KB a monak

jeste ze jsem tam nechal grafarnu.
A ten skript /etc/init.d/firewall jsem si taky zbastlil, jeste to musim nejak doladit aby to rozpoznavalo vnejsi IP pokud se zmeni a podle toho zmenilo veskera pravidla.

mimochodem pro informaci jsem si spustil tcpdump -i eth1 kde eth1 je moje externi if, a po asi 10 minutach jsem to stopnul s vysledkem

75403 packets received by filter
74963 packets dropped by kernel

celkem brutus ....

jsem zvedavej jak se zmeni "idle" traffic.

**Rainbow** · 02.05.2004, 21:53

Původně odeslal Marty

Hehe, ja restartovat nemusel, jen jsem pripojil KB a monak

jeste ze jsem tam nechal grafarnu.

Ja som mohol tiez, ibaze reset bol radovo jednoduchsi a rychlejsi

A ten skript /etc/init.d/firewall jsem si taky zbastlil, jeste to musim nejak doladit aby to rozpoznavalo vnejsi IP pokud se zmeni a podle toho zmenilo veskera pravidla.

S tym by nemal byt problem - IPcka v tom skripte je ako premenna, takze ju staci na zaciatku nastavit inak ako "natvrdo"

V robote je tiez podobne urobeny firewall - a stale su tam logy plne vselijakych pokusov. A ked som spravil mail server, tak tam tiez plno pokusov o posielanie spamu...

**Jezevec** · 02.05.2004, 22:02

Jen poznamecka:

iptables -A INPUT -j DROP je kravovina (ne ze by to nefungovalo

)

Kdyz uz tak iptables -P INPUT DROP

Tohle by melo byt prvni pravidlo co nastavis. Zakazes tim uplne vsechno na INPUT. Podobne bys mel nastavit i FORWARD, pokud to ma smysl = kdyz je tam NAT, smysl to nema. OUTPUT muzes zakazat taky, ale nezapomen si povolit odchozi provoz z vlastni IP.

Pak uz je povolis to co chces a nemusis zakazovat to co nechces, to je spatnej pristup.

Jo, a nez startovaci script, je mozna lepsi pouzit iptables-save a iptables-restore, uklada to i stavy pocitadel. Takze kdyz budes save poustet co 5 minut cronem, tak pri vypadku neprides o pocitadla. To je dobry predevsim kdyz to pouzivas k mereni traffic.

**Marty** · 03.05.2004, 07:35

Jo, ja mam prave v tom skriptu iptables-save,
ten prikaz byl samozrejme iptables -P INPUT -j DROP jak pises, akorat mi tam vypadlo pismenko.
Jinak porad je mi zahadou proc ten "nulovej traffic" - broadcasty - dela v upc siti tolik a jak se toho zbavit.

**Rainbow** · 03.05.2004, 10:53

To su asi Windowsacke broadcasty (porty 137 a 13

, nie?

**Marty** · 03.05.2004, 13:26

Původně odeslal Rainbow

To su asi Windowsacke broadcasty (porty 137 a 13

, nie?

To mam zakazny, tcpdump ukazuje ARP broadcasting - co to je?

**Rainbow** · 03.05.2004, 14:27

Skus program iptraf - celkom dobra vecicka. Tie blbosti na portoch 137 a 138 su UDP.

**wong** · 03.05.2004, 14:54

Původně odeslal Marty

Původně odeslal Rainbow

To su asi Windowsacke broadcasty (porty 137 a 13

, nie?

To mam zakazny, tcpdump ukazuje ARP broadcasting - co to je?

co to je nevim, ale chodi nam to na UPC taky

**Jezevec** · 03.05.2004, 16:27

ARP zjistuje MAC adresu. Je to v ramci jednoho segmentu site - neproleze pres router. Takovejhle bordel budou delat stejne widle.

Muzete se merknout arp -a, jsou tam MAC adresy vsech kompu v ramci segmentu se kteryma ste nekdy komunikovali (samo ze to ma timeout po kterym to zmizne).

**Marty** · 04.05.2004, 09:29

Mno - takze kdyz jsem nic nedelal, tak jsem tam mel napr. toto:

Kód:

 IPTraf
┌ TCP Connections &#40;Source Host&#58;Port&#41; ────────── Packets ─── Bytes Flags  Iface ┐
│┌213.220.231.140&#58;4024                        =       1        48 S---   eth1  │
│└213.220.231.238&#58;6129                        =       0         0 ----   eth1  │
│┌213.220.231.140&#58;4020                        =       1        48 S---   eth1  │
│└213.220.231.238&#58;445                         =       0         0 ----   eth1  │
│┌213.220.231.140&#58;4018                        =       1        48 S---   eth1  │
│└213.220.231.238&#58;1025                        =       0         0 ----   eth1  │
│┌213.220.231.140&#58;3989                        =       1        48 S---   eth1  │
│└213.220.231.238&#58;135                         =       0         0 ----   eth1  │
│┌213.220.231.238&#58;3524                        =       0         0 ----   eth1  │
│└195.39.35.28&#58;21                             >       1        46 --A-   eth1  │
│┌213.220.231.140&#58;4846                        =       3       144 S---   eth1  │
│└213.220.231.238&#58;135                         =       0         0 ----   eth1  │
└ TCP&#58;      9 entries ──────────────────────────────────────────────── Active ─┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ UDP &#40;92 bytes&#41; from 213.46.172.37&#58;53 to 213.220.231.238&#58;1618 on eth1         │
│ UDP &#40;70 bytes&#41; from 213.220.231.238&#58;1619 to 213.46.172.36&#58;53 on eth1         │
│ UDP &#40;126 bytes&#41; from 213.46.172.36&#58;53 to 213.220.231.238&#58;1619 on eth1        │
│ UDP &#40;73 bytes&#41; from 213.220.231.238&#58;1620 to 213.46.172.36&#58;53 on eth1         │
│ UDP &#40;129 bytes&#41; from 213.46.172.36&#58;53 to 213.220.231.238&#58;1620 on eth1        │
└ Bottom ────── Elapsed time&#58;   0&#58;01 ──────────────────────────────────────────┘
 Pkts captured &#40;all interfaces&#41;&#58;        6212 │ TCP flow rate&#58;      0.00 kbits/s
 Up/Dn/PgUp/PgDn-scroll  M-more TCP info   W-chg actv win  S-sort TCP  X-exit

coz se mi moc nelibi.
to jsou IP z rozsahu mojeho subnetu (resp. subnetu jehoz jsem soucasti).

**Jezevec** · 04.05.2004, 13:40

Dyk to rikam, 135 a 445 sou widle a jejich neskutecne dulezity hledani okolnich kompu. Pak tam vidim jedno ftp (21). 6129 bude neco p2p asi ?? a 1025 by mohlo bejt dns.

To UDP jsou dns dotazy (53) + odpovedi.

**Marty** · 04.05.2004, 15:57

jo, na ftp jsem asi byl pripojenej, takze ty prichozi srac.ky jsou od woken.. parada. ja mam smb ven zakazany, takze snad v klidu

jo a jeste jedna vec.. prestal mi fachcit mysql, resp. nejde se na nej pripojit, nejspis jsem neotevrel neco co potrebuje.
Takze, otazka zni jaky porty mam otevrit pro mysql? potrebuju to jen kvuli phpbb.

**Jezevec** · 04.05.2004, 20:35

to mysql ti jede lokalne ? Mozna bych jako prvni pravidlo dal
iptables -I INPUT -i lo -j ACCEPT a to samy OUTPUT pokud ho nejako omezujes iptables -I OUTPUT -o lo -j ACCEPT

Jinak -p tcp --dport/--sport mysql ti myslim bude fungovat taky, pokud to jede na defaulnim portu

.

**Rainbow** · 04.05.2004, 23:01

Ten skript z rootu by nemal loopback vobec obmedzovat.

**Gargamel** · 05.05.2004, 11:34

Původně odeslal Marty

jo, na ftp jsem asi byl pripojenej, takze ty prichozi srac.ky jsou od woken.. parada. ja mam smb ven zakazany, takze snad v klidu

jo a jeste jedna vec.. prestal mi fachcit mysql, resp. nejde se na nej pripojit, nejspis jsem neotevrel neco co potrebuje.
Takze, otazka zni jaky porty mam otevrit pro mysql? potrebuju to jen kvuli phpbb.

Pokud to mas na stejnem stroji, tak se da php nakonfigurovat tak, aby se pripojovalo na mysql server pres socket, ktery si mysql vytvori hned po spusteni. Takze pres porty to vubec nejde.

**Marty** · 05.05.2004, 12:20

jo jo, je to na stejnem stroji.
ale jak tomu rict at se to pripoji pres socket?
A kdyz jsem otevrel port 3306/TCP tak to nepomohlo.. ze by chybva nekde jinde? A veskery traffic z/na lo mam povoleny.

EDIT
jeste jeden problem,
pravdepodobne od toho co jsem nakonfil ten fajrwol tak mi nefachci apt - stahovani z netu, nejak mi to hlava nebere ?
zahlasi to temporary error in name resolution, a to mam incoming 53/UDP povolen.

**Gargamel** · 05.05.2004, 12:52

Původně odeslal Marty

jo jo, je to na stejnem stroji.
ale jak tomu rict at se to pripoji pres socket?
A kdyz jsem otevrel port 3306/TCP tak to nepomohlo.. ze by chybva nekde jinde? A veskery traffic z/na lo mam povoleny.

Hm no mrkni do php.ini, tam by se to melo nastavovat. A budes muset najit kam ti to ten socket vytvori (v kazde distribuci jinak). A dej si pozor na umisteni toho php.ini, taky je to pokazde jinak.

Jinak tam mas stejne asi neco blbe nastavene, kdyz uz ti nechodi ani DNS (zkus to pres prikazy host a dig treba).
Mas tam povolene prichozi pakety, ktere patri k navazanemu spojeni (neco jako RELATED, ESTABLISHED)?

edit: chybejici otaznik

**Marty** · 05.05.2004, 13:11

Ajooo mas pravdu. Nejak se mi tam vytratilo

Kód:

iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

edit
a koukam, ze to rozchodilo i ten mysql

Téma: Linux jako firewall

Nástroje témat

Zobrazení

Linux jako firewall

Informace o tématu

Users Browsing this Thread

Pravidla přispívání