Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Mam kilka pytan odnosnie zabezpieczenia sieci lokalnej.
1) Co zrobic, aby zablokowac dostep z okreslonych ipkow - wyjscie na swiat. Nie chce klepac na iptables setek regulek, wiem, ze jest prostszy sposob
2) Przyklad w miare bezpiecznej konfiguracji firewalla - ale nie na zasadzie - otworz wszystkie porty, z ktorych korzystaja uslugi... gdzies widzialem taki hmm "inteligentnijejszy"
3) Czy powiazanie ipkow z macami pomoze w jakis sposob poprawic bezpieczenstwo? Wiem, ze najlepsze jest pppoe, ale na razie nie mam czasu.
4) Czego mi potrzeba aby w pelni zarzadzac ruchem iloscia polaczen, limitowania ruchu p2p. Samo iptables mi tego nie da prawda? Mam debka na standardowym jajku 2.4.27 - na jakie jajko wymienic i co trzeba dodac?
Offline
1) Co zrobic, aby zablokowac dostep z okreslonych ipkow - wyjscie na swiat. Nie chce klepac na iptables setek regulek, wiem, ze jest prostszy sposob
2) Przyklad w miare bezpiecznej konfiguracji firewalla - ale nie na zasadzie - otworz wszystkie porty, z ktorych korzystaja uslugi... gdzies widzialem taki hmm "inteligentnijejszy"
3) Czy powiazanie ipkow z macami pomoze w jakis sposob poprawic bezpieczenstwo? Wiem, ze najlepsze jest pppoe, ale na razie nie mam czasu.
[/quote]
Chyba Cię dobrze zrozumiałem.
Każde nawet drobne zabezpieczenie jest wskazane. Możesz też blokować niużywane IPki. Ja do tych celów nieco zmodyfikowałem ten skrypt który naskrobała BiExi. Ale tutaj jest on w oryginale. Zapoznaj sie bo jest naprawde fajnym i wygodnym rozwiązaniem.
[url]http://www.dug.net.pl/texty/pliki/firewall.tar.gz[/url]
Zajrzyj sobie też do działu FAQ.
A na czwarte pytanie to niech juz odpowie szefowa :]
MOJA STRONA PRYWATNA
www.danielkrol.eu
NAJLEPSZY HOSTING JAKI ZNALAZŁEM
http://www.netmark.pl/panel/aff.php?aff=047
Offline
Dzieki za wskazowki. Nom, a co na to szefowa? :-)
Offline
Mam kilka pytan odnosnie zabezpieczenia sieci lokalnej.
1) Co zrobic, aby zablokowac dostep z okreslonych ipkow - wyjscie na swiat. Nie chce klepac na iptables setek regulek, wiem, ze jest prostszy sposob[/quote]
no do teog wystarczy Ci ten moj firewall dodatkowo mozesz utworzyc sobie plik [b]/etc/ethers[/b] z zawartoscia
mac IP
np
Kod:
00:90:4B:85:60:AC 10.10.10.2 00:C0:9F:B8:14:93 10.10.10.3 00:11:95:28:D5:0E 10.10.10.42) Przyklad w miare bezpiecznej konfiguracji firewalla - ale nie na zasadzie - otworz wszystkie porty, z ktorych korzystaja uslugi... gdzies widzialem taki hmm "inteligentnijejszy"[/quote]
Napisz cos dokladniej jakie uslugi chesz udostepniac na jakiej zasadzie itp?
3) Czy powiazanie ipkow z macami pomoze w jakis sposob poprawic bezpieczenstwo? Wiem, ze najlepsze jest pppoe, ale na razie nie mam czasu.[/quote]
Odpowiedz masz wyzej
jesli jest to siecfirmowa po kablu to PPPoE nie jest potrzebne
Jesli mozesz to napisz cos wiecej nt tej sieci jaki ona ma harakter co dokladnie chesz osiagnac?
4) Czego mi potrzeba aby w pelni zarzadzac ruchem iloscia polaczen, limitowania ruchu p2p. Samo iptables mi tego nie da prawda? Mam debka na standardowym jajku 2.4.27 - na jakie jajko wymienic i co trzeba dodac?[/quote]
iptables
iproute
esfq
ipp2p lub layer-7
[url=http://dug.net.pl][b]DUG[/b][/url]Offline
nie bede nowego watku zaczynac
chce dodac logowanie pakietow.
czy ma to w ogole sens?
czy nie spowolni to pracy mojego serwera sieciowego?
czy ta komenda jest prawidlowa? iptables -A INPUT -i eth0 -m limit -d 0/0 -j LOG --limit 10/hour --log-prefix '[end]'
gdzie beda gromadzone ewentualne logi?
czy ma sens ograniczenie logowania tylko pakietow o statusie INVALID?
chcialbym sie z Wami skonsultowac zanim odpale skrypt na serwerze.
pozdrawiam!
ps.
tak wyglada moj skrypt firewall. moze jakas konstruktywna krytyka z Waszej strony np. czy to zadziala :) ?
#!/bin/bash #plik z numerami IP komputerow z dostepem do internetu hosty=/etc/hosts.nat #interfejs routera do laczenia z internetem UPLINK="eth0" #maszyna jest routerem i przekazuje dane miedzy interfejsami ROUTER="yes" #statyczny adres IP powoduje wykorzystanie SNAT NAT="84.40.161.137" #dostepne interfejsy sieciowe INTERFACES="lo eth0 eth1" # numery albo symbole usług (z /etc/services) wszystkich serwisów, które bedą udostepniane # dla internautów. SERVICES="http ftp smtp ssh" if [ "$1" = "start" ]; then echo "Startowanie Firewall..." #oczyszczenie wszystkich tablic z poprzednio wpisanych reguł aby nowe mogły działać bez zarzutu iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter #blokowanie całego ruchu i selektywne wlaczanie ruchu iptables -P INPUT DROP iptables -A INPUT -i ! ${UPLINK} -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #dopuszcza internautów do wybranych serwisów for x in ${SERVICES} do iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT done #właczenie firewalla w trybie stealth (niewidoczny) iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable #wyłączenie spoofowania (podszywania) na wszystkich interfejsach for x in ${INTERFACES} do echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter done if [ "$ROUTER" = "yes" ]; then #włącz IP forwarding echo 1 > /proc/sys/net/ipv4/ip_forward #przepuszczanie ruchu z LAN na zewnatrz iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT #wybor maskarada/SNAT if [ "$NAT" = "dynamic" ]; then #Dynamiczny IP, użycie maskarady echo "Włączenie maskarady (dynamiczny ip)..." iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE elif [ "$NAT" != "" ]; then #statyczny IP używa SNAT echo "Włączenie SNAT (statyczny IP)..." iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP} #dopuszczanie do internetu tylko wybranych hostow z hosts.nat grep "^" $hosty | grep "^#" -v| while read ipeki; do if [ ! $ipeki = "" ]; then iptables -t filter -A FORWARD -s $ipeki -o eth0 -j ACCEPT elif echo "gdzie sa $hosty ?" done fi fi fi elif [ "$1" = "stop" ]; then echo "Zatrzymanie Firewalla..." iptables -F INPUT iptables -P INPUT ACCEPT #wyłączenie NAT/maskarady jeśli jest iptables -t nat -F POSTROUTING fi
[color=red][i]Przypominam o istnieniu dyrektywy [b]code[/b] prosze pisac posty czytelnie
BiExi[/color][/i]
Offline
Co do logowania nie powinno Ci to zbytnio spowolnic pracy servera dosc ciekawym rozwiazaniem jest ulog bodajze to sie tak nazywalo jeszcze nie testowalam ale duzo ludzi to zachwala
Offline
no a czy ten skrypt wg. Ciebie zadziała prawidlowo czy sa jakies błędy ?
chcialbym go sprawdzic zanim wrzuce go zdalnie na serwer na drugi koniec miasta zeby znowu nie jechac i nie podnosci serwera :|
pozdro
Offline
no ciezko tak z ogledzinc powedziec czy i jak bedzie dziala ten firewalla ale czy on nie jest czasem jakis nadmiarowy....
PS
fajny potyw z kropom na stronie http://84.40.161.137/
Offline
# numery albo symbole usług (z /etc/services) wszystkich serwisów, które bedą udostepniane # dla internautów. SERVICES="http ftp smtp ssh"
czy to udostepni TYLKO usługi na moim serwerze sieciowym?
nie zablokuje to dostepu dla uzytkowników LANu do gg, emule i innych zabawek pracujących na innych usługach i portach?
pozdro
Offline
Jednego ne rozumiem. W skrypcie BiExi jest porządny Firewall który zupełnie Ci wystarczy a ty udziwniasz wszystko i utrudniasz sobie zadanie. Zmodyfikuj nieco skrypt pod swoje potrzeby i bedzie soko.
Offline
nie zapominaj o aspekcie edukacyjnym.
cchialby msie troche nauczyc o działaniu firewalla i regul iptables i korzystam z porad ludzi bardziej doswiadczonych.
obecnie mam firewalla
#!/bin/sh serwer=84.40.161.137 iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -F iptables -P FORWARD DROP iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to $serwer
który świetnie działa ale uważam że stać mnie teraz na coś więcej.
nie chce gotowca - chce sam cos zrobic i nie uwazam zeby ten firewall nad ktorym pracuje byl jakis skomplikowany.
pozdrawiam!
Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00144 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.149.243.86' WHERE u.id=1 |
0.00118 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.149.243.86', 1732837460) |
0.00036 | SELECT * FROM punbb_online WHERE logged<1732837160 |
0.00079 | SELECT topic_id FROM punbb_posts WHERE id=27201 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=3466 ORDER BY posted |
0.00049 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=3466 AND t.moved_to IS NULL |
0.00007 | SELECT search_for, replace_with FROM punbb_censoring |
0.00146 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=3466 ORDER BY p.id LIMIT 0,25 |
0.00113 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=3466 |
Total query time: 0.00711 s |