[es] - vatreni zid

gorang

Član broj: 728
Poruke: 308
62.108.126.*

Profil

^{21.12.2002. u 14:50}

Treba mi savet oko podesavanja firewall-a i to mozda manje sto se tice tehnike, a vise sta je pametno staviti pod zabrane. Evo kako izgleda sistem: RH8.0 (2.4 - iptables), ima tri mrezne kartice od kojih je prva (eth0) na javnoj adresi (npr. 11.22.33.44) i kojoj je gateway ruter koji dalje preko modema i frame relay-a ima vezu sa provajderom, druge dve kartice(h1/h2) su za lokalne mreze, jedna za 192.168.0.0/24 i druga za 10.0.30.0/24. Za pristup internetu iz lokala koristim NAT naredbu iptables-a, koju sam ubacio u rc.local i ona glasi (prethodno aktiviran IP forward u kernelu):
/sbin/iptables -t nat -A POSTROUTING -s 10.0.20.0/24 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

od bitnih servisa koji treba da su vidljivi spolja su webserver za host prezentacija, mail (sendmail), ftp, a iznutra sam mislio da forsiram upotrebu proxy servera (squid) i da zabranim portove za direktan izlaz http i ftp. Takodje bih hteo da iznutra (prema spolja) budu blokirani svi servisi koji povecavaju saobracaj (razni napster/kazza/realvideo servisi) a da normalno rade slabije zahtevni irc/icq

RH ima neki wizard 'lokkit', koji sam podesio na 'no firewall' (da me ne bi zbunjivao), da li mi on moze pomoci za pocetak?

Slobodno mi recite ukoliko negde gresim... i da, procitao sam vecinu poruka na forumu koji su vezani za firewall, kao i par stranih tekstova (onoliko koliko su mi bili jasni), no voleo bih da mi neko prikaze njegovo resenje sta je i kako blokirao od paketa (preko iptables!). Hvala na razumevanju.

^{21.12.2002. u 14:50}

B o j a n
EU

Član broj: 1178
Poruke: 2925
*.net.yu

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc

Profil

Re: vatreni zid

^{21.12.2002. u 21:51}

Helou,

Citat:

od bitnih servisa koji treba da su vidljivi spolja su webserver za host prezentacija, mail (sendmail), ftp, a iznutra sam mislio da forsiram upotrebu proxy servera (squid) i da zabranim portove za direktan izlaz http i ftp. Takodje bih hteo da iznutra (prema spolja) budu blokirani svi servisi koji povecavaju saobracaj (razni napster/kazza/realvideo servisi) a da normalno rade slabije zahtevni irc/icq

Proxy server mozes da forsiras sa upotrebom firewall-a ( iptables u ovom slucaju ), tako sto ces sve zahteve ka http ( --dport 80 ) servisu da "prisilno" guras na host sa proxy-em na sebi.

E sad, tu sto si naveo da zelis da blokiras "raznim" servisima, mozes da sredis tako sto ces da na INPUT tabelu stavis default policy na DROP/DENY, uz naravno propustanje zahteva ka proxy serveru, sopstvenih konekcija ka spolja.

PS: Squid moze sasvim lepo da radi i kao irc/icq gateway, tako da ako je potrebna i vise restriktivna zona, maskarada moze skroz da se iskljuci.
To opet potrazuje drzanje lokalnog DNS-a.

"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo

^{21.12.2002. u 21:51}