Åben og luk porte i iptables

Det første du skal vide er at man ikke åbner og lukker porte i en firewall. Man starter med at lukke alt.

Dette kan f.eks. gøres sådan

# Default policies drop all packets.
$IPTABLES -P INPUT DROP # Drop all packets to input
$IPTABLES -P FORWARD DROP # Don’t forward anything
$IPTABLES -P OUTPUT DROP # Drop all packets to output

Nu er alt lukket og slukket, intet kommer ind, ud eller gennem

Herefter åbnes for det du har brug for, præcist det og kun det. Dette kunne f.eks. se sådan ud:

# Packets coming from LAN(internt netværk) to WAN(internettet)
# allow the LAN users to access http, https and ftp on the internet.
$IPTABLES -A forwardfromlantowan -p tcp --source $LAN_NET --dport 80 -j ACCEPT
$IPTABLES -A forwardfromlantowan -p tcp --source $LAN_NET --dport 443 -j ACCEPT
$IPTABLES -A forwardfromlantowan -p tcp --source $LAN_NET --dport 21 -j ACCEPT
$IPTABLES -A forwardfromlantowan -p tcp --source $ROUTER_CONFIG --destination $BORDERROUTER -- dport 22 -j ACCEPT

Hvis du vil se hele firewall scriptet som ovenstående små elementer er klippet fra så se her

http://www.giac.org/certified_professionals/practicals/gcfw/0526.php fra side 74 og frem (appendixd A). Hvis du vil lære noget om netfilter opsætning sæ nærlæs kap 1, kap 2 og appendixd a.

Hejsa

Alt er sådanset lukket, men vi ville gerne kunne styre de enkelte porte som vi lyster.

F. eks port 80 og 22

$IPTABLES -A forwardfromlantowan -p tcp --source $LAN_NET --dport 80 -j ACCEPT

Siger at jeg åbner for tcp på distinationsport 80 for den kæde der håndtere trafikken fra det interne net ud på internettet.

Iptables er lavet sådan at du ikke bare åbner og lukker nogle porte, men du definere nogle kæder som du kan sætte regler på.

Jeg vil anbefale at du gennemlæser opgaven jeg linker til. og du skal også huske port 53 der jo håndtere DNS opslag.

Super Kim :D

Læser det gennem på jobbet imorgen og vender tilbaws :D

Kan du prøve at udarbejde noget udfra vores som det ser ud nu?
------------------------------

#!/bin/bash
# STOP ROUTING
echo 0 > /proc/sys/net/ipv4/ip_forward

PATH=bin:usr:sbin/usr/sbin:

FW=/sbin/iptables
OFF_IP=10.224..128.42     man skal huske I dette tilfælde, at tilrettet det sidste tal I IP’en
INET_IF=”eth0”
DMZ_IF”eth1”

#Fjern tidligere regler, også NAT
$FW –F ; $FW –X  ; $FW –Z ; $FW –F –t nat

#set policy
$FW –P INPUT DROP
$FW –P FORWARD DROP
$FW –P OUTPUT ACCEPT

#ACCEPT established connection
$FW -A INPUT –j ACCEPT –m state –state ESTABLISHED,RELATED
$FW –A FORWARD – ACCEPT –m state –state ESTABLISHED,RELATED
#####################################################

$FW –t nat –A POSTROUTING –o $INET_IF –j SNAT –to-source $OFF_IP

$FW –A INPUT –I lo –j ACCEPT # for at man kan ..
$FW –A INPUT –i $DMZ_IF –j ACCEPT

#Route traffic from DMZ
$FW –A FORWARD –I $DMZ_IF –j ACCEPT

Echo 1 > /proc/sys/net/ipv4/ip_forward

#Dette er til information

#Dette scripts køres ved at skrive sh “filnavn” I en terminal som root
#Derefter køres kommandoen service iptables save
#Kør ikke service iptables start, restart, stop FØR kommando service iptables save er kørt.
#Ellers overskrives det script, der lige er indlæst med et default script.
#Test ved at pinge fra host /klient maskine) til ip adresse 216.239.59.103 (google)

#Denne fil kan konventeres til DOS med kommandoen ”dos2unix”
#Filen kan konventeres tilbage med kommandoen ”unix2dos ”filnavn”


Se bort fra vores udkommenteringer :D

Server og workstation firewall er meget enkelt (nemnt) å konfigurere vha iptables. Gateway firewall er også nokså enkelt. 3 port firewall med dmz er og blir komplisert. Hvis man ønsker seg dette så bør en heller satse på Smoothwall som gir en hel del "gratis". Ellers script for 3 port m dmz. (Hvis man nå vil ha det)
Se nederst i denne tråden: http://eksperten.dk/spm/541674

langbein> Skal ikke have en smoothwall :D

Hallo buffer :D

Så er jeg her igen, som du måske ved har vi ikke fået mails i en rum tid. Jeg kikker på det og vender tilbage