Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2006-11-28 03:02:59

  rw30 - Użytkownik

rw30
Użytkownik
Zarejestrowany: 2005-08-10

zadanko do szkoły . . . iptables do napisania . . .

zadanie wygląda tak:


Router/serwer linux:



Interfejs podłączony do internetu:

eth0: 80.80.80.81/255.255.255.252

poprzez router(bridge) o adresie 80.80.80.82



Interfejsy sieci lokalnych:

eth1 192.168.1.126/255.255.255.128 – pracownicy firmy

eth2 192.168.1.254/255.255.255.128 - księgowość + szef



Serwery uruchomione:

-Apache (tylko intranet)

-DHCP

-DNS (caching only)

-SSH





Zadanie:

Napisać w postaci skryptu ustawienia firewalla zapewniające:
1.Dostęp do internetu poprzez NAT dla wszystkich komputerów w sieci
2.Ograniczyć dostęp do internetu dla wszystkich oprócz szefa (192.168.1.200) do połączeń HTTP/HTTPS oraz poczty email
3.Ograniczyć dostęp do internetu dla komputerów księgowości do połączeń HTTP/HTTPS z: ZUS (adresy: 212.244.187.133, 217.96.4.59) oraz bankiem (12.34.56.78)
4.Zablokować możliwość połączenia pomiędzy komputerami księgowości (bez szefa) a komputerami pracowników
5.Jeden z pracowników ma na firmowym komputerze (192.168.1.66) serwer FTP, który należy udostępnić w internecie (na interfejsie 80.80.80.81)
6.Linux ma mieć „na zewnątrz” udostępniony jedynie SSH dla administratora, który loguje się z zewnątrz  wyłącznie z maszyny (88.88.88.88), oraz porty konieczne dla działania serwera DNS.
7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.



Uwaga:

-router nie może blokować ruchu ICMP

-wszystkie zapytania DNS z sieci lokalnych są kierowane do serwera na routerze

-porty wszystkich usług które są zablokowane na zewnątrz mają odpowiadać na pakiety „icmp port unreachable”

-należy użyć jak najmniejszej ilości reguł [/quote]

niestety nie mam za bardzo gdzie przetestowac tego, co stworzylem . . . jesli ktos ma ochote niech rzuci okiem i ew. poprawi : )


#!/bin/bash

##*********************************************
## zadanie 0 - przygotowania do routowania : )
##*********************************************

#
# wlaczanie forwardowania
#

echo 1>/proc/sys/net/ipv4/ip_forward

#
# czyszczenie
#

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

#
# ustawienie domyslnych akcji . . .
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

##*********************************************
## zadanie 1 - Dostęp do internetu poprzez NAT
##             dla wszystkich komputerów w sieci
##*********************************************

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT



##*********************************************
## zadanie 2a - szef ma dostep wszedzie
##*********************************************

iptables -A FORWARD -s 192.168.1.200/32 -j ACCEPT

##*********************************************
## zadanie 3 - ksiegowosc - tylko http/https 
##    212.244.187.133, 217.96.4.59 oraz 12.34.56.78
##*********************************************



iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p tcp --dport http -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  217.96.4.59  -p tcp  --dport http -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  12.34.56.78 -p tcp  --dport http  -j ACCEPT


iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p tcp --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  217.96.4.59  -p tcp  --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  12.34.56.78 -p tcp  --dport https  -j ACCEPT









iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p udp --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  217.96.4.59  -p udp  --dport https -j ACCEPT

iptables -A FORWARD -s 192.168.1.128/25 -d  12.34.56.78 -p udp  --dport https  -j ACCEPT

##*********************************************
## zadanie 2b - komputery inne niz szefa maja dostep tylko do http/https/e-mail
##jako ze w zadaniu 3 ustalilismy regulki dla ksiegowosci, tu rozpatrujemy tylko siec
##192.168.1.0/25
##*********************************************


iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport http  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport https  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport smtp  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p tcp  --dport pop-3  -j ACCEPT



iptables -A FORWARD -s 192.168.1.0/25  -p udp  --dport https  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25  -p udp  --dport pop-3  -j ACCEPT

##*********************************************
##zadanie 4
##  Zablokować możliwość połączenia pomiędzy komputerami
##  księgowości (bez szefa) a komputerami pracowników
##*********************************************


iptables -A FORWARD -s 192.168.1.0/25 -d 192.168.1.128/25 -j DROP
iptables -A FORWARD -d 192.168.1.0/25 -s 192.168.1.128/25 -j DROP


##*********************************************
##zadanie 5
##  Jeden z pracowników ma na firmowym komputerze (192.168.1.66)
##  serwer FTP, który należy udostępnić w internecie (na interfejsie 80.80.80.81 czyli eth0)
##*********************************************


iptables -A PREROUTING -t nat -i eth0  -p tcp --dport 20 -j DNAT --to 192.168.1.66:20
iptables -A PREROUTING -t nat -i eth0  -p tcp --dport 21 -j DNAT --to 192.168.1.66:21



##*********************************************
##zadanie 6
##   Linux ma mieć „na zewnątrz” udostępniony jedynie SSH dla administratora,
##   który loguje się z zewnątrz  wyłącznie z maszyny (88.88.88.88),
##   oraz porty konieczne dla działania serwera DNS.
##*********************************************

iptables -A INPUT -s 88.88.88.88 -p udp --dport ssh -j ACCEPT
iptables -A INPUT -s 88.88.88.88 -p tcp --dport ssh -j ACCEPT

iptables -A INPUT  -p tcp --dport domain -j ACCEPT
iptables -A INPUT  -p udp --dport domain -j ACCEPT

[/quote]

przyznam, ze nie wiem jak poradzic sobie z uwagą o nieblokowaniu ruchu ICMP, takoz z zadaniem 7

poza tym, w zwiazku z uwaga nt. odpowiednich odpowiedzi uslug na zablokowanych portach przydaloby sie ustawic REJECT jako policy dla input ale to chyba nie jest mozliwe

a ogólnie w temacie iptables jestem średnio zorientowany : (


dzieki za ew. pomoc


na szczęście za rogiem jest żubr . . .

Offline

 

#2  2006-11-28 11:17:16

  zielkam - były zielony_83 :)

zielkam
były zielony_83 :)
Skąd: Zawiercie
Zarejestrowany: 2006-05-06
Serwis

Re: zadanko do szkoły . . . iptables do napisania . . .

przede wszystkim spójrz na ten [url=http://gorzow-wlkp.pl/linux/dodatkowe/ip.php]art[/url] maska [128] w skróconym zapisie to nie /24


Zostałeś zarejestrowany jako użytkownik #416423 przez.. :mrgreen:
##
[url=http://fluxboxpl.org]FluxboxPL[/url] | [url=http://zielony.fluxboxpl.org/blog/]Mój Lepszy Świat[/url] | [url=http://www.unixy.pl/]UnixyPL[/url] | [url=www.adescom.pl]Telenia VOIP dla ISP[/url]
JID: zielony@jabster.pl

Offline

 

#3  2006-11-28 13:19:41

  rw30 - Użytkownik

rw30
Użytkownik
Zarejestrowany: 2005-08-10

Re: zadanko do szkoły . . . iptables do napisania . . .

przede wszystkim spójrz na ten [url=http://gorzow-wlkp.pl/linux/dodatkowe/ip.php]art[/url] maska [128] w skróconym zapisie to nie /24[/quote]

to wiem, ale w sa tu rzeczy ktore tu odnosza sie do obu pod sieci [czyli i 192.168.1.0 /25 i 192.168.1.128 /25]

wiec robie je niejako dla calej tej sieci 192.168.1.0 / 24 i z tego co sie orientuje to powinno zadzialac


na szczęście za rogiem jest żubr . . .

Offline

 

#4  2006-11-28 20:28:21

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: zadanko do szkoły . . . iptables do napisania . . .

Co do

7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.
[/quote]

- Postawienie servera DHCP by przydzie;al adresy w sieci lokalnej mac+ip
- Statyczna tablica arp plik /etc/ether gdzie wpisujesz pary mac + IP

mysle ze to jest najprosze rozwiazanie oczywiscie jest ono do obejscia ale zawsze cos niz nic


[url=http://dug.net.pl][b]DUG[/b][/url]

Offline

 

#5  2006-11-28 21:11:17

  mons - Użytkownik

mons
Użytkownik
Zarejestrowany: 2006-06-01

Re: zadanko do szkoły . . . iptables do napisania . . .

Co do

7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.
[/quote]

- Postawienie servera DHCP by przydzie;al adresy w sieci lokalnej mac+ip
- Statyczna tablica arp plik /etc/ether gdzie wpisujesz pary mac + IP

myślę ze to jest najprostsze rozwiązanie oczywiście jest ono do obejscia ale zawsze cos niz nic[/quote]
iptables tez potrafi przywiązać się do maca...
Ja używam w tym celu takich regułek:

Kod:

#nie mac w ip, drop
iptables -A FORWARD -m mac --mac-source ! 00:40:FF:7F:9F:FD -s 192.168.1.2 -j DROP

Offline

 

#6  2006-11-28 21:21:41

  zielkam - były zielony_83 :)

zielkam
były zielony_83 :)
Skąd: Zawiercie
Zarejestrowany: 2006-05-06
Serwis

Re: zadanko do szkoły . . . iptables do napisania . . .

Uwaga co do zadania nr. 1 w jaki sposób wszystkie komputery będą mieć dostęp do neta skoro dropujesz cały przychodzący ruch


Zostałeś zarejestrowany jako użytkownik #416423 przez.. :mrgreen:
##
[url=http://fluxboxpl.org]FluxboxPL[/url] | [url=http://zielony.fluxboxpl.org/blog/]Mój Lepszy Świat[/url] | [url=http://www.unixy.pl/]UnixyPL[/url] | [url=www.adescom.pl]Telenia VOIP dla ISP[/url]
JID: zielony@jabster.pl

Offline

 

#7  2006-11-28 21:26:28

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: zadanko do szkoły . . . iptables do napisania . . .

ano faktycznie poszlam na latwizne uzylam innej metody niz iptables :]
to chyba z przepracowania czlowiek chodzi nakrecony :]


[url=http://dug.net.pl][b]DUG[/b][/url]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00015 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00148 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.98.240' WHERE u.id=1
0.00097 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.98.240', 1730446293)
0.00031 SELECT * FROM punbb_online WHERE logged<1730445993
0.00084 SELECT topic_id FROM punbb_posts WHERE id=45487
0.00004 SELECT id FROM punbb_posts WHERE topic_id=5959 ORDER BY posted
0.00033 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=5959 AND t.moved_to IS NULL
0.00045 SELECT search_for, replace_with FROM punbb_censoring
0.00111 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=5959 ORDER BY p.id LIMIT 0,25
0.00141 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=5959
Total query time: 0.00713 s