PLD Linux Forum Strona Główna PLD Linux Forum
Oficjalne forum dystrybucji PLD Linux

FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj

Poprzedni temat «» Następny temat
[HOWTO] Firewall
Autor Wiadomość
awass 


Pomógł: 16 razy
Dołączył: 22 Maj 2006
Posty: 255
Skąd: Warszawa
Wysłany: 19 Wrzesień 2006, 15:17   

zrob tak:

wyczysc wszystko
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

uruchom maskarade:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


domyslna polityka bezpieczenstwa czyli wpuszczaj wszystko:
iptables -P INPUT ACCEPT

ustaw TTl i przekierowania:
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 5
iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 128

usuń zepsute pakiety:
iptables -A INPUT -m state --state INVALID -j DROP

akceptuj pakiety ktore sa ok z interfejsow eth0 i eth1 czyli tcp i udp:
iptables -A INPUT -i eth0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


powinno dzialac.
jesli chcesz dodatkowo zabezpieczeia prze rozymi atakami to moge podeslac na maila.
_________________
pozdr A

www.awass.pl
 
 
 
awass 


Pomógł: 16 razy
Dołączył: 22 Maj 2006
Posty: 255
Skąd: Warszawa
Wysłany: 19 Wrzesień 2006, 17:20   

ok moja specjalnosc ataki i jak sie przed nimi bronic:)
kilka ciekawych wpisow do konfiga iptable
pierwszy post

portscan - ogranicz odpowiedzi na pakiety
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

pingi - blokuj wszystkie
iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable

lub inaczej (jesli chcemy zeby nasz zerwer odpowiadal na ping) obrona przed Ping of death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

traceroute
/sbin/iptables -A INPUT -p udp --dport 33435:33525 -j DROP

synflood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

po co maja nas skanowac

Skaner portół Furtive
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Skanowanie SYN
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP

Skanowanie ACK
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP

Skanowanie FIN
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP

Skanowanie Xmas
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP

Skanowanie Null
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP
_________________
pozdr A

www.awass.pl
 
 
 
jędrek
[Usunięty]

Wysłany: 20 Wrzesień 2006, 09:57   

# Saser i Blaster bye bye ;)
iptables -A INPUT -p tcp --dport 135 -j DROP
iptables -A OUTPUT -p tcp --dport 135 -j DROP
iptables -A FORWARD -p tcp --dport 135 -j DROP
iptables -A INPUT -p udp --dport 135 -j DROP
iptables -A OUTPUT -p udp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 135 -j DROP
iptables -A INPUT -p tcp --dport 445 -j DROP
iptables -A OUTPUT -p tcp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A INPUT -p udp --dport 445 -j DROP
iptables -A OUTPUT -p udp --dport 445 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP
 
 
croolyc 
zajonc trejn


Pomógł: 25 razy
Dołączył: 06 Lip 2005
Posty: 985
Skąd: Polanów
Wysłany: 20 Wrzesień 2006, 21:18   

na blastera,sasera proponuje
iptables -A INPUT -p tcp --dport 135-139 -j DROP
itd...

MyDoom
iptables -A INPUT -p tcp --dport 1080 -j DROP
iptables -A OUTPUT -p tcp --dport 1080 -j DROP
iptables -A FORWARD -p tcp --dport 1080 -j DROP

teraz same porty

MyDoom.B
10080
Wormy
1433-1434
4444
Beagle Virus
2535
2745
8866
Dumaru.Y
2283
10000
Backdoor OptixPro
3410
Dabber
9898
NetBus
12345
Kuang2
17300
SubSeven
27374
PhatBot, Agobot, Gaobot
65506
ndm
1363-1364
screen cast
1368
hromgrafx
1373
cichlid
1377
wiekszosc tcp i udp

coby proxy nie tunelowali (przy zalozeniu ze proxy fruwa na 8080)
iptables -A INPUT -p tcp --sport 8080 -j DROP
_________________
PLD - Punk Linux Distro
Underground Out Of Poland
 
 
 
awass 


Pomógł: 16 razy
Dołączył: 22 Maj 2006
Posty: 255
Skąd: Warszawa
Wysłany: 21 Wrzesień 2006, 12:00   

jeszcze wpadla mi taka lepsza mysla jak przejrzalem swojego firewalla
takie oczywiste ale jednak przeoczone :)

lepiej jest zablokowac wszystkie porty i dopiero potem otwierac potrzebne.

domyslnie
iptables -P INPUT DROP
oczywiscie ruch lokalny musimy przepuscic
iptables -I INPUT -i lo -j ACCEPT
juz sestawione polaczenia tcp przepuszczamy
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
i przepuszczamy serwisy ktorych rzeczywiscie uzywamy
iptables -A INPUT -p tcp --dport tutaj port np. 80, 22, 443 itp -m state --state NEW -j ACCEPT

jesli chcemy przepuscic caly ruch z naszej sieci lokalnej
iptables -A INPUT -i eth0 -s Adres sieci -j ACCEPT
iptables -A FORWARD -i eth0 -s Adres sieci -j ACCEPT

i kilka opcjonalnych reg:
odrzuca polaczenia przychodzace ale nie zaadresowane do naszego firewalla (broadcasty)
iptables -A INPUT -i eth0 -d ! IP_sieci -s 0/0 -j DROP

to chyba na dzis tyle
_________________
pozdr A

www.awass.pl
 
 
 
sivy 


Distro: Titanium i PLD 3.0
Pomógł: 6 razy
Dołączył: 07 Lip 2005
Posty: 130
Skąd: Gdynia
Wysłany: 21 Wrzesień 2006, 13:43   

Witam
Może się przyda :)
Kod:
#!/bin/bash
/sbin/modprobe ip_conntrack_ftp
iptables -F
iptables -A INPUT -i lo -j ACCEPT

# Ochrona Przed Atakiem Typu Smurf
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Brak Akceptacji Paketow "Source route"
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych
# polaczen

iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
#iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT
# cd
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state RELATED

# na porty
iptables -A INPUT -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -d 0/0 --dport 443 -j ACCEPT


####  samba  #####
iptables -A INPUT -p tcp -d 0/0 -i eth1 --dport 137 -j ACCEPT
iptables -I INPUT -p udp -m udp -i eth1 --dport 137 -j ACCEPT
iptables -A INPUT -p tcp -d 0/0 -i eth1 --dport 139 -j ACCEPT
iptables -I INPUT -p udp -m udp -i eth1 --dport 139 -j ACCEPT
#################


iptables -A INPUT -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -d 0/0 --dport 465 -j ACCEPT
#iptables -A INPUT -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -d 0/0 --dport 995 -j ACCEPT

iptables -A INPUT -p tcp -d 0/0 --dport 53 -j ACCEPT
iptables -I INPUT -p udp -m udp --dport 53 -j ACCEPT

# Czarnalista IP Do wywalenia
iptables -I INPUT -s 80.55.10.18 -j DROP

# Czarnalista IP Do wywalenia log na ssh
iptables -I INPUT -s 210.0.0.0/8 -m tcp -p tcp --dport 22 -j DROP
iptables -I INPUT -s 193.0.0.0/8 -m tcp -p tcp --dport 22 -j DROP
iptables -I INPUT -s 163.0.0.0/8 -m tcp -p tcp --dport 22 -j DROP

# reszte loguje
iptables -A INPUT -j LOG -m limit --limit 10/hour
iptables -A INPUT -j DROP
 
 
Light-I 
Używatiel PLD


Distro: PLD 2.0;3.0
Pomógł: 38 razy
Dołączył: 30 Lip 2005
Posty: 841
Skąd: /town/Słupsk
Wysłany: 24 Sierpień 2007, 18:07   

Tak gwoil The Right Way™ of PLD :
Kod:
# poldek -i iptables-init
# iptables ..... <Tutaj poczynamy nasze regułki >
# service iptables save <a tutaj je zapisujemy i nie plączemy sie w skryptach>
# service iptables start <tutaj odpalamy zapisane regułki w /etc/sysconfig/iptables>
_________________
Postrzeganie stopnia komplikacji problemu jest odwrotnie proporcjonalne do chęci jego samodzielnego rozwiązania... :P
 
 
 
bioly 
#PLDHelp


Distro: PLD 2.0;3.0
Pomógł: 2 razy
Dołączył: 07 Lip 2005
Posty: 163
Skąd: Starachowice
Wysłany: 25 Grudzień 2007, 13:03   

a może ktoś opisze jak skutecznie zablokowac wszelkiej maści radia intrnetowe ??
_________________
Copyright by bioly
 
 
 
svl 
paweld


Pomógł: 115 razy
Dołączył: 19 Lis 2006
Posty: 1038
Skąd: Toruń
Wysłany: 25 Grudzień 2007, 13:50   

http://l7-filter.sourceforge.net/protocols
shoutcast, httpaudio powinno ograniczyć
najlepiej blokować wszystkie porty, a otwierać niezbędne ;)
_________________
God, root, what is difference?
 
 
pluto 

Dołączył: 17 Maj 2008
Posty: 1
Wysłany: 17 Maj 2008, 13:39   

awass napisał/a:
pingi - blokuj wszystkie
iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable


po co angazowac do takiej czynnosci firewall i jeszcze odsylac pakiety?

# /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
 
 
qwiat 

Distro: PLD 2.0;3.0
Pomógł: 23 razy
Dołączył: 11 Lut 2006
Posty: 367
Wysłany: 18 Maj 2008, 11:12   

a po co w ogóle blokować pingi?
 
 
sokon 


Dołączył: 18 Maj 2006
Posty: 38
Wysłany: 20 Maj 2008, 15:50   

pewnie po to co by nie można było sprawdzić czy dany komputer jest w sieci czy nie, tym samym uczynić zasoby tegoż komputera bezpieczniejszymi
 
 
qwiat 

Distro: PLD 2.0;3.0
Pomógł: 23 razy
Dołączył: 11 Lut 2006
Posty: 367
Wysłany: 20 Maj 2008, 19:51   

istnieje cała masa sposobów żeby sprawdzić czy host żyje, bez użycia pinga
 
 
bioly 
#PLDHelp


Distro: PLD 2.0;3.0
Pomógł: 2 razy
Dołączył: 07 Lip 2005
Posty: 163
Skąd: Starachowice
Wysłany: 7 Lipiec 2008, 19:40   

A kto napisze jak zablokować dostęp wszystkim ip w sieci wewnętrznej np: 192.168.1.0/24 i puszczanie tylko danych usług np: 80, 443, 110 itp.
_________________
Copyright by bioly
 
 
 
KrystianT 

Distro: PLD 3.0
Pomógł: 189 razy
Dołączył: 26 Paź 2005
Posty: 1920
Skąd: Kamionek
Wysłany: 7 Lipiec 2008, 21:07   

Kod:
iptables -P FORWARD DROP
for port in 80 443 110
do
iptables -A FORWARD -p tcp --dport $port -j ACCEPT
done
_________________
Krystian T.
"Errare humanum est."
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group