Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

IP tables - Blokiranje kompletnog saobracaja!

[es] :: Linux mreže :: IP tables - Blokiranje kompletnog saobracaja!

[ Pregleda: 3813 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

[email protected]
Agatunovic Ivica
Sistem Inzenjer,

Nelt Co D.o.o.
Beograd

Član broj: 64136
Poruke: 387
91.150.126.*

Sajt: rs.linkedin.com/pub/ivica..


Profil

icon IP tables - Blokiranje kompletnog saobracaja!23.01.2008. u 12:09 - pre 159 meseci
Zeleo bih da blokiram kompletan saobracaj na linux ruteru na kome je podignut IPTABLES firewall pa da onda manualno propustim samo odredjene portove kroz FORWARD lanac. Racimo hocu da klijentima dozvolim samo pregled web strana preko pravila:

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -s <adresa LAN-a> -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 80 -d <adresa LAN-a> -s 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 53 -s <adresa LAN-a> -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 53 -d <adresa LAN-a> -s 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -s <adresa LAN-a> -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p udp --sport 53 -d <adresa LAN-a> -s 0.0.0.0/0 -j ACCEPT

eth1(LAN)
eth0(ADSL)

Kojim pravilom da blokiram kompletan ostali saobracaj?

[Ovu poruku je menjao [email protected] dana 23.01.2008. u 15:36 GMT+1]
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon Re: IP tables - Blokiranje kompletmog saobracaja!23.01.2008. u 12:33 - pre 159 meseci
Stavi da su ti default polise za sve lance DROP
Dakle, na početku fajla sa pravilima imaš ovako

Code:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


[Ovu poruku je menjao Tyler Durden dana 23.01.2008. u 14:01 GMT+1]
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

[email protected]
Agatunovic Ivica
Sistem Inzenjer,

Nelt Co D.o.o.
Beograd

Član broj: 64136
Poruke: 387
91.150.126.*

Sajt: rs.linkedin.com/pub/ivica..


Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!23.01.2008. u 14:35 - pre 159 meseci
OK, zahvaljujem.

Pozdrav!!!
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!23.01.2008. u 20:45 - pre 159 meseci
Mnogo efikasniji setup bi bio da napravis novi chain (iptables -N <ime>), koji nazoves PORTFILTER, gde dodas ovakva pravila:
Code:
iptables -A PORTFILTER -p tcp --dport 80 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 22 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 443 -j ACCEPT
iptables -A PORTFILTER DROP


A onda ako nekoga zelis da pustis na taj limiran net:
Code:
iptables -A FORWARD -s <adresa> -j PORTFILTER


Pre toga samo dodaj jedan
Code:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


Pretpostavljam da su korisnici iza NATa. Kad neko pokusa da uspostavi vezu, paketi se filtriraju u forwardu prema sourceu, posle u PORTFILTERu prema portu (ne zaboravi da na kraj PORTFILTERa stavis DROP!), a u povratku ce biti prihvaceni, jer su deo uspostavljene konekcije (zbog NATa se i ovako nece uspostavljati veze sa kompovima u lokalu).

Jedini problem sa ovim setupom moze biti FTP. Trebace ti par modula, kako bi i FTP radi (ip_nat_ftp, ip_conntrack_ftp).
JaFreelancer.com
 
Odgovor na temu

[email protected]
Agatunovic Ivica
Sistem Inzenjer,

Nelt Co D.o.o.
Beograd

Član broj: 64136
Poruke: 387
79.101.166.*

Sajt: rs.linkedin.com/pub/ivica..


Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!24.01.2008. u 14:18 - pre 159 meseci
Jos samo jedno kratko pitanje, kako da iz komandne linije podesim default gateway za interface eth0(WAN)?
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!24.01.2008. u 14:27 - pre 159 meseci
route add default gw x.x.x.x dev eth0

Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

[email protected]
Agatunovic Ivica
Sistem Inzenjer,

Nelt Co D.o.o.
Beograd

Član broj: 64136
Poruke: 387
79.101.166.*

Sajt: rs.linkedin.com/pub/ivica..


Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!25.01.2008. u 02:29 - pre 159 meseci
Uradio sam sledece po tutorijalu http://www.elitesecurity.org/t...LL-HOWTO-Iptables-za-pocetnike

#eth0(LAN)
#eth1(WAN)


echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X

# Omogućavamo NAT na eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Forvardujemo sve što dolazi na eth0(LAN) na izlaz eth1(WAN)
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT

# Blokiramo sve ostalo spolja
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i eth1 -m state --state NEW,INVALID -j DROP


Ovo radi na Debian-u, ali me interesuje:
1. koliko je ova konfiguracija dobra kada je u pitanju zastita "od spolja" tj da li zabranjuje kompletan saobracaj INTERNET>>LAN
2. za sta sluzi parametar RELATED koji se koristi u kombinaciji sa NEW,ESTABLISHED

Znam da pitam mnogo ali zaista nemam previse iskustva sa Linux-om, imajte razumevanja ;-)

[Ovu poruku je menjao [email protected] dana 25.01.2008. u 03:39 GMT+1]
 
Odgovor na temu

buda01
Beograd

Član broj: 24949
Poruke: 288
*.rcub.bg.ac.yu.



+9 Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!29.01.2008. u 17:40 - pre 159 meseci
Ja bi to ovako:

Definises Policy:
iptables -P FORWARD DROP

Znaci sve je zabranjeno osim onoga sto je dozvoljeno, kod tebe je bilo obrnuto.


Radis NATovanje na spoljnu mrezu WAN:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


Dodas pravila za forwardovanje spolja i iznutra:
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT



Related oznacava novu konekciju koja je povezana sa nekom vec postojecom konekcijom, npr error paketi.
 
Odgovor na temu

[email protected]
Agatunovic Ivica
Sistem Inzenjer,

Nelt Co D.o.o.
Beograd

Član broj: 64136
Poruke: 387
77.46.254.*

Sajt: rs.linkedin.com/pub/ivica..


Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!31.01.2008. u 23:21 - pre 159 meseci
Citat:
Dodas pravila za forwardovanje spolja i iznutra:
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


Ovim si omogucio kompletan saobracaj sa LAN-a ka internetu, ako se ne varam. To nije ono sto meni treba. Ja bih zeleo da dozvolim samo odredjenim servisima i protokolima izlaz napolje(HTTP(80), HTTPS(443), DNS(tcp,udp 53)) a spolja bih sve zabranio.
 
Odgovor na temu

buda01
Beograd

Član broj: 24949
Poruke: 288
*.rcub.bg.ac.yu.



+9 Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!01.02.2008. u 09:47 - pre 159 meseci
To ti je pametno:


iptables -N PORTFILTER
iptables -A PORTFILTER -p tcp --dport 80 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 53 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 443 -j ACCEPT
iptables -A PORTFILTER DROP


iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j PORTFILTER
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
Odgovor na temu

[email protected]
Agatunovic Ivica
Sistem Inzenjer,

Nelt Co D.o.o.
Beograd

Član broj: 64136
Poruke: 387
91.150.126.*

Sajt: rs.linkedin.com/pub/ivica..


Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!01.02.2008. u 11:39 - pre 159 meseci
Citat:
iptables -N PORTFILTER
iptables -A PORTFILTER -p tcp --dport 80 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 53 -j ACCEPT
iptables -A PORTFILTER -p tcp --dport 443 -j ACCEPT
iptables -A PORTFILTER DROP


Nisi dozvolio UDP za dns. Pretpostavljam da je potrebno dodati samo jedan red:

Code:
 iptables -A PORTFILTER -p udp --dport 53 -j ACCEPT 
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!01.02.2008. u 12:07 - pre 159 meseci
Nema potrebe Ivice za tim. Mnogo je bolje dignuti DNS cache na tom serveru (dnsmasq, djb-dns), pa na masinama setovati server da bude DNS.
JaFreelancer.com
 
Odgovor na temu

[email protected]
Agatunovic Ivica
Sistem Inzenjer,

Nelt Co D.o.o.
Beograd

Član broj: 64136
Poruke: 387
91.150.126.*

Sajt: rs.linkedin.com/pub/ivica..


Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!01.02.2008. u 12:28 - pre 159 meseci
Citat:
Nema potrebe Ivice za tim. Mnogo je bolje dignuti DNS cache na tom serveru (dnsmasq, djb-dns), pa na masinama setovati server da bude DNS.


Pravim DMZ a ovaj firewall bih postavio na prvu liniju odbrane tj direktno na ADSL ruter. DNS cache vec imam podignut na drugom linux firewall-u koji je vezan za LAN
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!01.02.2008. u 13:44 - pre 159 meseci
ADSL router <------> Ovaj router <----------> Jos jedan firewall <------> LAN
Da nisi malo paranoican?
JaFreelancer.com
 
Odgovor na temu

[email protected]
Agatunovic Ivica
Sistem Inzenjer,

Nelt Co D.o.o.
Beograd

Član broj: 64136
Poruke: 387
91.150.126.*

Sajt: rs.linkedin.com/pub/ivica..


Profil

icon Re: IP tables - Blokiranje kompletnog saobracaja!01.02.2008. u 14:14 - pre 159 meseci
Ma jok, ADSL router radi forwarding kompletnog saobracaja na spoljni firewall. A inace u DMZ-u trebam da podignem mail server.
 
Odgovor na temu

[es] :: Linux mreže :: IP tables - Blokiranje kompletnog saobracaja!

[ Pregleda: 3813 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.