14. april 2002 - 17:33Der er
11 kommentarer og 1 løsning
DROP anmodninger på port 80
Det lyder måske lidt lamt, men jeg skal have en iptables "kommando" som DROP'er anmodninger på port 80(fra det interne netværk).
mine regler ser sådan ud nu($EXTIF er eth1 og $INTIF er eth0)
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT $IPTABLES -A FORWARD -j LOG
echo " Enabling SNAT (MASQUERADE) functionality on $EXTIF" $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
På serveren kører vi nemlig både squid, og noget som hedder dansguardian. Derfor skal klienterne kun kunne køre deres http-trafik igennem disse, men fordi vi bruger dansguardian kan jeg ikke lave "transparent proxying" (squid fucker op), så jeg skal bare have lukket for alle anmodninger til port 80 på eth0, eller fra ip'erne 192.168.100.1 - 192.168.100.6. Regelen må endelig ikke lukke for de anmodninger vi får til vores httpd på eth1!!! Klienterne(Win med Internet Explorer) er konfigureret til at bruge serveren som proxy, men skulle en eller anden unge(jeg arbejder i et fritidscenter) finde på at disable proxy'en skal han ikke kunne få direkte adgang til nettet(vi filterer nemlig visse filtyper ud!)
Den moderne arbejdsplads er i stigende grad afhængig af mødelokaler til at fremme samarbejde, men dette skift medfører også stigende sikkerhedsudfordringer.
Setningen eller regeln over åpner for alle interne requester, dvs all intern trafikk slipper ut uten noen form for restriksjon.
Regelen jobber ellers sammen med $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE (Disse to reglene har bare mening i "samarbeide" med hverandre.) For så vidt så behøves også: $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j
Du har en firewall som ser ut til å stå 100 % åpen for all trafikk initiert innefra. DEt finnes bare begrensninger i forhold til eksterne requester som ikke først er initiert innefra (-m state --state ESTABLISHED,RELATED )
ovenstående sætning jeg har postet ligger sig dog øverst og vil dermed overskrive de interne regler, der åbner alting... med andre ord bliver port 80 lukket internt... alt andet vil være som det plejer...
hvor jeg har skrever eth0 kan du skrive $INTIF i stedet...
Nei thomasledet, du bruker "ipchains prinsipper" !
Hos ipchains så kjøres forwarding pakker gjennom, hva skal vi kalle det ? "firewall lokalt prosessområde, eller noe slikt". Det er det som er den store endringen i forhold til iptables. "Forwarding" kjører "helt utenom". (Ikke lett å finne de rette ordene.) Det må bli noe slikt:
Når man bruker -I i stedet for -A så kommer den nye setningen på toppen i stedet for på bunnen i regel stacken. Altså vil port 80 pakkene bli droppet før den generelle regelen som slipper alle pakker ut "trer i kraft".
Dett er vel ellers ikke en veldig sikker firewall (Med en port stengt, resten åpent.)
thomasledet -> tror faktisk at din setning vil lukke for interne requester til en lokal web server som kjører på fitrewallmaskinene (INPUT chain på denne.) Den vil der i mot ikke hindre forwarding til eksterne web servere (FORWARDING chain)
Hadde det der i mot dreid seg om ipchains og ikke iptables så ville din setning både ha hindret trafikk til lokal web server (på firewall maskin) og ekterne web servere ute på internett.
Altså, sansynlig rett (men fortsatt ikke testkjørt): $IPTABLES -I FORWARD -i eth0 -p tcp --destination-port 80 -j DROP (Ved problemer, event reboot maskinen og den er borte.)
Jeg ved godt at firewallen ikke er særlig gennemført(sikker), men idéen er også at jeg skal tage mig sammen og lære iptables ordentligt. Det er bare fordi der står en masse unger på nakken af mig som vil kunne bruge netstationen og alle mulige webspil, som bruger andre porte end 80 (202 o.a.) og dem har der jo altså været lukket for i snart 6 måneder.... Det er nemlig først nu at jeg fik iptables til at køre ordentligt, der var gået monster lort i modulerne, så jeg kompilerede en ny kerne med iptables indbygget, og så manglede jeg bare lige reglen...
Nå langbein kom ikke med noget svar....jeg snupper selv mine point så...
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
