Konfiguracja iptables - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Forum ogólne (https://safegroup.pl/forum-6.html) +--- Dział: Linux (https://safegroup.pl/forum-17.html) +--- Wątek: Konfiguracja iptables (/thread-5766.html) Strony:
1
2
|
Konfiguracja iptables - Meo - 25.10.2012 Od jakiegoś czasu męczę się z konfiguracją. Opierając się na jednym z poradników mam takie reguły. #Wyczyść istniejące reguły, nie chcemy narobić bałaganu iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT #Odrzucenie ruchu wchodzącego iptables -P INPUT DROP #Odrzucenie ruchu przekazującego iptables -P FORWARD DROP #Akceptacja ruchu wychodzącego. Zakładamy, że ruch który wychodzi od nas jest bezpieczny. iptables -P OUTPUT ACCEPT #Akceptacja ruchu na loopback, nasze usługi muszą mieć możliwość wzajemnie się komunikować. iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT #Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer (to co my nawiązujemy jest bezpieczne) iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED #Otwieramy porty dla usług, które mają być dostępne dla świata. Np. http # iptables -A INPUT -p PROTOKÓŁ --dport NUMER PORTU -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT 1. Po co dodatkowo otwierać port 80, skoro bez tego wpisu http działa bez problemu (przynajmniej dotychczas)? 2. Skaner online pokazuje mi, że ten port jest zamknięty. Co zrobić, aby go otworzyć? Re: Konfiguracja iptables - buri - 25.10.2012 Jestem w to cienki, ale poczytaj dobrze co masz w przypisach. Odnośnie pierwszego pytania to działa ponieważ port 80 jest otwierany przez tą regułę: Kod: Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer (to co my nawiązujemy jest bezpieczne) Jeśli zainicjowałeś ruch na porcie 80 to jest on otwarty puki na nim odbywa się też ruch od Ciebie. Otwierając port otwierasz go i jest on zawsze otwarty. Nie jestem w stanie powiedzieć czy prawidłowo masz reguły, bo ja kiedyś ustawiłem swój firewall i zapomniałem o nim. U siebie mam otwarty tylko 63001 port na torrenta, a reszta otwiera się sama Re: Konfiguracja iptables - Meo - 25.10.2012 Dzięki za wyjaśnienie, ale nadal nie rozumiem dlaczego skanery pokazują, że jest zamknięty, skoro według reguły powinien być otwarty. Re: Konfiguracja iptables - buri - 25.10.2012 Pokaż co da wynik polecenia: Kod: sudo iptables -L Re: Konfiguracja iptables - Meo - 25.10.2012 Chain INPUT (policy DROP) target prot opt source destination ACCEPT all--anywhere anywhere ACCEPT all--anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp--anywhere anywhere tcp dpt:http Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all--anywhere anywhere ACCEPT all--anywhere anywhere state RELATED,ESTABLISHED Chain OUTPUT (policy ACCEPT) target prot opt source destination Re: Konfiguracja iptables - buri - 25.10.2012 Nie ma że port 80 jest otwarty. Jak nie znajdziesz odpowiedzi to poczekaj jak wrócę na Linuksa, a wstawię co mam u siebie. Re: Konfiguracja iptables - Meo - 25.10.2012 Czytając to rozumiem, że ta reguła otwiera port #Otwieramy porty dla usług, które mają być dostępne dla świata. Np. http # iptables -A INPUT -p PROTOKÓŁ --dport NUMER PORTU -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT Skoro port nie jest otwarty, co to oznacza? ACCEPT tcp -- anywhere anywhere tcp dpt:http Re: Konfiguracja iptables - buri - 25.10.2012 Źle na to patrzysz, to jest w polityce DROP dla przychodzących -> odrzuć. Re: Konfiguracja iptables - Meo - 25.10.2012 Wcześniej tego nie zauważyłem. Poczekam aż wrzucisz co masz u siebie, a w tym czasie poszukam rozwiązania. Re: Konfiguracja iptables - buri - 25.10.2012 Tak mam otwarty port 63001 jak widać dla pewności dla przychodzących i wychodzących, więc może spróbuj podobnie: Kod: # rtorrent /dom-nat /ghnet Wklejenie tutaj mojego firewalla to trochę lipa, bo nawet nie mam bladego pojęcia czy dobrze działa, nikt nigdy obeznany mi go nie sprawdzał. Re: Konfiguracja iptables - Meo - 25.10.2012 Zrobiłem tak, ale brak rezultatu - port nadal zamknięty. Re: Konfiguracja iptables - buri - 25.10.2012 Meo napisał(a):Zrobiłem tak, ale brak rezultatu - port nadal zamknięty. Rozumiem, że po każdej wprowadzonej zmianie przeładowujesz skrypt? Kod: sudo /etc/init.d/firewall restart Ja mam skrypt dodany do init.d i tak muszę po każdej zmianie go przeładować aby wczytał na nowo ustawienia. Re: Konfiguracja iptables - Meo - 25.10.2012 Skrypt przeładowuje ./iptables.rules. Po wpisaniu iptables -L są zmiany. Używałem tego poradnika [Aby zobaczyć linki, zarejestruj się tutaj] Re: Konfiguracja iptables - buri - 25.10.2012 Tak wygląda mój firewall, a składałem go dość długo, ostrzegam nie sugeruj się nim bo nie daje pewności: [malware] #!/bin/sh # czyszczenie reguł iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # wstępna ochrona # ochrona przed atakiem typu Smurf echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # nie akceptujemy pakietow "source route" (zmieniaja tablice routingu) echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route # nie przyjmujemy pakietow ICMP redirect, ktore moga zmienic nasza tablice routingu echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects # wlaczamy ochrone przed blednymi pakietami ICMP error echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # ochrona przed spoofingiem -kazdy interfejs sieciowy bedzie przyjmowal # tylko te pakiety ktore znajduja sie w tablicy routingu echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter # wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow echo "1" > /proc/sys/net/ipv4/conf/all/log_martians #Blokada przed atakami typu SYN FLOODING echo "1" > /proc/sys/net/ipv4/tcp_syncookies # Polityka bezpieczeństwa iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Reguły firewalla # akceptacja pakietów przychodzących z połączeń nawiązanych. iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # akceptacja pakietów przekierowanych z połączeń nazwiązanych. iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # przychodzące lokalne pakiety iptables -A INPUT -i lo -j ACCEPT # rtorrent /dom-nat /ghnet iptables -A INPUT -p tcp --destination-port 63001 -j ACCEPT iptables -A OUTPUT -p tcp --source-port 63001 -j ACCEPT #----------------------------------------------------# # Blokujemy nowe polaczenia bez ustawionej flagiSYN iptables -A INPUT -p tcp ! --syn -m conntrack --ctstate NEW -j DROP # sprawdzamy fragmenty pakietow iptables -A INPUT -f -j DROP # blokada pakietow podobnych do prob ataku xmms iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP # blokujemy puste pakiety iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP # blokujemy fragmenty pakietow i metode Xmas treeSYN,FIN i SYN,RST iptables -A INPUT -p ip -f -j DROP iptables -A INPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP #reguly zabezpieczajace przed Anti-spoofingiem iptables -A INPUT -s 200.200.200.200 -j DROP iptables -A INPUT -s 192.168.0.0/24 -j DROP iptables -A INPUT -s 127.0.0.0/8 -j DROP iptables -A INPUT -s 0.0.0.0/8 -j DROP iptables -A INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -s 172.16.0.0/12 -j DROP iptables -A INPUT -s 224.0.0.0/3 -j DROP # Uniemożliwianie pingowanie mnie iptables -A INPUT -p icmp -j DROP[/malware] Prawie jak malware, mam nadzieję, że możesz podejrzeć Re: Konfiguracja iptables - Meo - 25.10.2012 Dzięki, na szczęście mogę go zobaczyć. Jak dojdę dlaczego nie można otworzyć ego portu to napisze. Jeszcze jedno pytanie. Gdyby port 80 był całkowicie zamknięty to żadne strony by mi się nie wczytywały? Re: Konfiguracja iptables - buri - 25.10.2012 Meo napisał(a):Dzięki, na szczęście mogę go zobaczyć. Jak dojdę dlaczego nie można otworzyć ego portu to napisze. Jeszcze jedno pytanie. Gdyby port 80 był całkowicie zamknięty to żadne strony by mi się nie wczytywały? Tak bo to http. Re: Konfiguracja iptables - Meo - 25.10.2012 To chyba skanery są w błędzie, bo innego wytłumaczenia nie mam, skoro wszystko działa. Re: Konfiguracja iptables - Konto usunięte - 25.10.2012 A czy łączysz się bezpośrednio, czy jesteś za NATem (np. router)? Pamiętaj, że w tym drugim wypadku skaner nie skanuje Ciebie, a element brzegowy Twojej sieci. Re: Konfiguracja iptables - buri - 25.10.2012 lukasamd napisał(a):A czy łączysz się bezpośrednio, czy jesteś za NATem (np. router)? Słuszna uwaga, całkowicie o tym zapomniałem, a sam przecież w takie sytuacji jestem Re: Konfiguracja iptables - Meo - 25.10.2012 Mój komputer komputer łączy się bezpośrednio po kablu, a reszta urządzeń poprzez router. |