Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2006-04-29 01:07:34
Kpt. - 
Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Zabezpieczenia - pare pyt.
Mam kilka pytan odnosnie zabezpieczenia sieci lokalnej.
1) Co zrobic, aby zablokowac dostep z okreslonych ipkow - wyjscie na swiat. Nie chce klepac na iptables setek regulek, wiem, ze jest prostszy sposob
2) Przyklad w miare bezpiecznej konfiguracji firewalla - ale nie na zasadzie - otworz wszystkie porty, z ktorych korzystaja uslugi... gdzies widzialem taki hmm "inteligentnijejszy"
3) Czy powiazanie ipkow z macami pomoze w jakis sposob poprawic bezpieczenstwo? Wiem, ze najlepsze jest pppoe, ale na razie nie mam czasu.
4) Czego mi potrzeba aby w pelni zarzadzac ruchem iloscia polaczen, limitowania ruchu p2p. Samo iptables mi tego nie da prawda? Mam debka na standardowym jajku 2.4.27 - na jakie jajko wymienic i co trzeba dodac?
Offline
#2 2006-04-29 03:13:35
pekape - Użytkownik
- pekape
- Użytkownik
- Zarejestrowany: 2005-08-06
Re: Zabezpieczenia - pare pyt.
1) Co zrobic, aby zablokowac dostep z okreslonych ipkow - wyjscie na swiat. Nie chce klepac na iptables setek regulek, wiem, ze jest prostszy sposob
2) Przyklad w miare bezpiecznej konfiguracji firewalla - ale nie na zasadzie - otworz wszystkie porty, z ktorych korzystaja uslugi... gdzies widzialem taki hmm "inteligentnijejszy"
3) Czy powiazanie ipkow z macami pomoze w jakis sposob poprawic bezpieczenstwo? Wiem, ze najlepsze jest pppoe, ale na razie nie mam czasu.
[/quote]
Chyba Cię dobrze zrozumiałem.
Każde nawet drobne zabezpieczenie jest wskazane. Możesz też blokować niużywane IPki. Ja do tych celów nieco zmodyfikowałem ten skrypt który naskrobała BiExi. Ale tutaj jest on w oryginale. Zapoznaj sie bo jest naprawde fajnym i wygodnym rozwiązaniem.
[url]http://www.dug.net.pl/texty/pliki/firewall.tar.gz[/url]
Zajrzyj sobie też do działu FAQ.
A na czwarte pytanie to niech juz odpowie szefowa :]
MOJA STRONA PRYWATNA
www.danielkrol.eu
NAJLEPSZY HOSTING JAKI ZNALAZŁEM
http://www.netmark.pl/panel/aff.php?aff=047
Offline
#3 2006-05-04 12:13:25
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: Zabezpieczenia - pare pyt.
Dzieki za wskazowki. Nom, a co na to szefowa? :-)
Offline
#4 2006-05-04 15:53:26
BiExi - matka przelozona
Re: Zabezpieczenia - pare pyt.
Mam kilka pytan odnosnie zabezpieczenia sieci lokalnej.
1) Co zrobic, aby zablokowac dostep z okreslonych ipkow - wyjscie na swiat. Nie chce klepac na iptables setek regulek, wiem, ze jest prostszy sposob[/quote]
no do teog wystarczy Ci ten moj firewall dodatkowo mozesz utworzyc sobie plik [b]/etc/ethers[/b] z zawartoscia
mac IP
np
Kod:
00:90:4B:85:60:AC 10.10.10.2 00:C0:9F:B8:14:93 10.10.10.3 00:11:95:28:D5:0E 10.10.10.42) Przyklad w miare bezpiecznej konfiguracji firewalla - ale nie na zasadzie - otworz wszystkie porty, z ktorych korzystaja uslugi... gdzies widzialem taki hmm "inteligentnijejszy"[/quote]
Napisz cos dokladniej jakie uslugi chesz udostepniac na jakiej zasadzie itp?
3) Czy powiazanie ipkow z macami pomoze w jakis sposob poprawic bezpieczenstwo? Wiem, ze najlepsze jest pppoe, ale na razie nie mam czasu.[/quote]
Odpowiedz masz wyzej
jesli jest to siecfirmowa po kablu to PPPoE nie jest potrzebne
Jesli mozesz to napisz cos wiecej nt tej sieci jaki ona ma harakter co dokladnie chesz osiagnac?
4) Czego mi potrzeba aby w pelni zarzadzac ruchem iloscia polaczen, limitowania ruchu p2p. Samo iptables mi tego nie da prawda? Mam debka na standardowym jajku 2.4.27 - na jakie jajko wymienic i co trzeba dodac?[/quote]
iptables
iproute
esfq
ipp2p lub layer-7
[url=http://dug.net.pl][b]DUG[/b][/url]Offline
#5 2006-05-05 15:00:36
nieca - Użytkownik
- nieca
- Użytkownik
- Zarejestrowany: 2006-04-27
Re: Zabezpieczenia - pare pyt.
nie bede nowego watku zaczynac
chce dodac logowanie pakietow.
czy ma to w ogole sens?
czy nie spowolni to pracy mojego serwera sieciowego?
czy ta komenda jest prawidlowa? iptables -A INPUT -i eth0 -m limit -d 0/0 -j LOG --limit 10/hour --log-prefix '[end]'
gdzie beda gromadzone ewentualne logi?
czy ma sens ograniczenie logowania tylko pakietow o statusie INVALID?
chcialbym sie z Wami skonsultowac zanim odpale skrypt na serwerze.
pozdrawiam!
ps.
tak wyglada moj skrypt firewall. moze jakas konstruktywna krytyka z Waszej strony np. czy to zadziala :) ?
Kod:
#!/bin/bash
#plik z numerami IP komputerow z dostepem do internetu
hosty=/etc/hosts.nat
#interfejs routera do laczenia z internetem
UPLINK="eth0"
#maszyna jest routerem i przekazuje dane miedzy interfejsami
ROUTER="yes"
#statyczny adres IP powoduje wykorzystanie SNAT
NAT="84.40.161.137"
#dostepne interfejsy sieciowe
INTERFACES="lo eth0 eth1"
# numery albo symbole usług (z /etc/services) wszystkich serwisów, które bedą udostepniane
# dla internautów.
SERVICES="http ftp smtp ssh"
if [ "$1" = "start" ]; then
echo "Startowanie Firewall..."
#oczyszczenie wszystkich tablic z poprzednio wpisanych reguł aby nowe mogły działać bez zarzutu
iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
#blokowanie całego ruchu i selektywne wlaczanie ruchu
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#dopuszcza internautów do wybranych serwisów
for x in ${SERVICES}
do
iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
done
#właczenie firewalla w trybie stealth (niewidoczny)
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable
#wyłączenie spoofowania (podszywania) na wszystkich interfejsach
for x in ${INTERFACES}
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
if [ "$ROUTER" = "yes" ]; then
#włącz IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
#przepuszczanie ruchu z LAN na zewnatrz
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
#wybor maskarada/SNAT
if [ "$NAT" = "dynamic" ]; then
#Dynamiczny IP, użycie maskarady
echo "Włączenie maskarady (dynamiczny ip)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
elif [ "$NAT" != "" ]; then
#statyczny IP używa SNAT
echo "Włączenie SNAT (statyczny IP)..."
iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
#dopuszczanie do internetu tylko wybranych hostow z hosts.nat
grep "^" $hosty | grep "^#" -v| while read ipeki;
do
if [ ! $ipeki = "" ]; then
iptables -t filter -A FORWARD -s $ipeki -o eth0 -j ACCEPT
elif echo "gdzie sa $hosty ?"
done
fi
fi
fi
elif [ "$1" = "stop" ]; then
echo "Zatrzymanie Firewalla..."
iptables -F INPUT
iptables -P INPUT ACCEPT
#wyłączenie NAT/maskarady jeśli jest
iptables -t nat -F POSTROUTING
fi[color=red][i]Przypominam o istnieniu dyrektywy [b]code[/b] prosze pisac posty czytelnie
BiExi[/color][/i]
Offline
#6 2006-05-05 17:25:04
BiExi - matka przelozona
Re: Zabezpieczenia - pare pyt.
Co do logowania nie powinno Ci to zbytnio spowolnic pracy servera dosc ciekawym rozwiazaniem jest ulog bodajze to sie tak nazywalo jeszcze nie testowalam ale duzo ludzi to zachwala
[url=http://dug.net.pl][b]DUG[/b][/url]
Offline
#7 2006-05-05 17:45:35
nieca - Użytkownik
- nieca
- Użytkownik
- Zarejestrowany: 2006-04-27
Re: Zabezpieczenia - pare pyt.
no a czy ten skrypt wg. Ciebie zadziała prawidlowo czy sa jakies błędy ?
chcialbym go sprawdzic zanim wrzuce go zdalnie na serwer na drugi koniec miasta zeby znowu nie jechac i nie podnosci serwera :|
pozdro
Offline
#8 2006-05-05 17:58:33
BiExi - matka przelozona
Re: Zabezpieczenia - pare pyt.
no ciezko tak z ogledzinc powedziec czy i jak bedzie dziala ten firewalla ale czy on nie jest czasem jakis nadmiarowy....
PS
fajny potyw z kropom na stronie http://84.40.161.137/
[url=http://dug.net.pl][b]DUG[/b][/url]
Offline
#9 2006-05-06 10:32:03
nieca - Użytkownik
- nieca
- Użytkownik
- Zarejestrowany: 2006-04-27
Re: Zabezpieczenia - pare pyt.
Kod:
# numery albo symbole usług (z /etc/services) wszystkich serwisów, które bedą udostepniane
# dla internautów.
SERVICES="http ftp smtp ssh" czy to udostepni TYLKO usługi na moim serwerze sieciowym?
nie zablokuje to dostepu dla uzytkowników LANu do gg, emule i innych zabawek pracujących na innych usługach i portach?
pozdro
Offline
#10 2006-05-06 10:37:25
pekape - Użytkownik
- pekape
- Użytkownik
- Zarejestrowany: 2005-08-06
Re: Zabezpieczenia - pare pyt.
Jednego ne rozumiem. W skrypcie BiExi jest porządny Firewall który zupełnie Ci wystarczy a ty udziwniasz wszystko i utrudniasz sobie zadanie. Zmodyfikuj nieco skrypt pod swoje potrzeby i bedzie soko.
MOJA STRONA PRYWATNA
www.danielkrol.eu
NAJLEPSZY HOSTING JAKI ZNALAZŁEM
http://www.netmark.pl/panel/aff.php?aff=047
Offline
#11 2006-05-06 11:13:53
nieca - Użytkownik
- nieca
- Użytkownik
- Zarejestrowany: 2006-04-27
Re: Zabezpieczenia - pare pyt.
nie zapominaj o aspekcie edukacyjnym.
cchialby msie troche nauczyc o działaniu firewalla i regul iptables i korzystam z porad ludzi bardziej doswiadczonych.
obecnie mam firewalla
Kod:
#!/bin/sh
serwer=84.40.161.137
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -F
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to $serwer
który świetnie działa ale uważam że stać mnie teraz na coś więcej.
nie chce gotowca - chce sam cos zrobic i nie uwazam zeby ten firewall nad ktorym pracuje byl jakis skomplikowany.
pozdrawiam!
Offline
#12 2006-05-06 11:23:29
BiExi - matka przelozona
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00010 | SET CHARSET latin2 |
| 0.00003 | SET NAMES latin2 |
| 0.00143 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='13.58.45.238' WHERE u.id=1 |
| 0.00076 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '13.58.45.238', 1732830293) |
| 0.00028 | SELECT * FROM punbb_online WHERE logged<1732829993 |
| 0.00080 | SELECT topic_id FROM punbb_posts WHERE id=27841 |
| 0.00137 | SELECT id FROM punbb_posts WHERE topic_id=3466 ORDER BY posted |
| 0.00097 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=3466 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00097 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=3466 ORDER BY p.id LIMIT 0,25 |
| 0.00075 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=3466 |
| Total query time: 0.00752 s | |