Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2006-07-30 19:30:42
maverick44 - 
Moderator
- maverick44
- Moderator
- Skąd: Częstochowa
- Zarejestrowany: 2005-08-30
- Serwis
Ogniościanka na desktop
Witam!
W tej chwili komputer mam w obcej sieci lokalnej, adminowi nie wierze ze zabezpieczyl dobrze server :) Dlatego postanowilem zrobic sobie firewall'a, w sieci jest jeden komputer zaufany jego ip to: 10.0.0.142, ktoremu chce udostepniac local i ssh, cos takiego wypocilem, waszym zdaniem wystarczy to, czy cos dopisac ?
Kod:
#!/bin/bash
if [ "$1" = "start" ]
then
echo -e "33[36m Start firewall'a"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# nie akceptujemy pakietow "source route" (zmieniaja tablice routingu)
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# nie przyjmujemy pakietow ICMP redirect, ktore moga zmienic nasza tablice ro
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# wlaczamy ochrone przed blednymi pakietami ICMP error
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# ochrona przed spoofingiem - kazdy interfejs sieciowy bedzie przyjmowal
# tylko te pakiety ktore znajduja sie w tablicy routingu
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j REJECT --reje
ct-with host-unreach
iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p udp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp --dport 137:139 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p udp --dport 137:139 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p tcp --dport 137:139 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p udp --dport 137:139 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.142 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -s 10.0.0.142 -j ACCEPT
echo -e "33[36m Konfiguracja Firewall'a zakonczona pomyslnie"
exit
fi
if [ "$1" = "stop" ]
then
echo -e "33[36m Wylaczanie Firewall'a"
iptables -F
iptables -t mangle -F
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo -e "33[36m Wylaczanie Firewall'a zakonczone pomyslnie"
exit
fi
Maverick
Gentoo GCC 4.1.1 KDE 3.5.6 Kernel 2.6.17
AMD Sempron 2400+ 512 MB RAM Seagate 160GB
Linux user number: #415965
[img]http://www.gohome.org/debian_logo_06.gif[/img] [img]http://maluch.pcz.pl/~maverick/images/logo_gentoo.png[/img]
Offline
#2 2006-07-30 20:21:38
Radek - Użytkownik
- Radek
- Użytkownik
- Skąd: Poniatowa
- Zarejestrowany: 2006-04-02
Re: Ogniościanka na desktop
Tak przy okazji to gdzie można znaleźć (wiem, że na google, ale nie zawsze najlepsze rzeczy są tam w widocznym miejscu) materiały na temat tworzenia własnego firewalla na desktop i ogólnie o netfilerze?
Znany również jako Jabber ;).
Offline
#3 2006-07-31 10:30:57
djinn - Członek DUG
- djinn
- Członek DUG
- Skąd: Żary/Wrocław
- Zarejestrowany: 2005-11-12
Re: Ogniościanka na desktop
Tak ogólnie tutaj [url]http://www.debian.one.pl/index.php?url=4[/url] w podanym artylule znajduje się linki do innych artów o netfiler na stronie dug`a tez cos jest :)
Peace
Offline
#4 2006-07-31 12:00:29
Lorenzo - Moderator
- Lorenzo
- Moderator
- Zarejestrowany: 2005-12-23
Re: Ogniościanka na desktop
[url=http://lumd.linux.pl/lecture/13/%5bLinux%20--%20u%20mnie%20dziala%5d%5b13%5dOgnioscianki%20i%20garnki%20z%20miodem.pdf]Tutaj[/url] masz małą prezentację o fajerłolach.[url=http://lumd.linux.pl/lecture/13/%5bLinux%20--%20u%20mnie%20dziala%5d%5b13%5dfirewall.przyklad]Przykładowa[/url] zapora.
Jeszcze ciekawym pomysłem jest havp - HTTP AntiVirus Proxy. Zainstalowałem to sobie w zeszłym tygodniu i na swojej 400 każde połączenie http ładnie mi skanuje a róznicy w działaniu nie czuje :-) (niestety na routerku 486dx4 100 i 24mega ramu muliło jak diabli :( ).
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00010 | SET CHARSET latin2 |
| 0.00003 | SET NAMES latin2 |
| 0.00095 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.22.42.189' WHERE u.id=1 |
| 0.00083 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.22.42.189', 1732510577) |
| 0.00064 | SELECT * FROM punbb_online WHERE logged<1732510277 |
| 0.00077 | SELECT topic_id FROM punbb_posts WHERE id=37443 |
| 0.00004 | SELECT id FROM punbb_posts WHERE topic_id=4697 ORDER BY posted |
| 0.00054 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=4697 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00152 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=4697 ORDER BY p.id LIMIT 0,25 |
| 0.00080 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=4697 |
| Total query time: 0.00627 s | |