Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
zadanie wygląda tak:
Router/serwer linux:
Interfejs podłączony do internetu:
eth0: 80.80.80.81/255.255.255.252
poprzez router(bridge) o adresie 80.80.80.82
Interfejsy sieci lokalnych:
eth1 192.168.1.126/255.255.255.128 – pracownicy firmy
eth2 192.168.1.254/255.255.255.128 - księgowość + szef
Serwery uruchomione:
-Apache (tylko intranet)
-DHCP
-DNS (caching only)
-SSH
Zadanie:
Napisać w postaci skryptu ustawienia firewalla zapewniające:
1.Dostęp do internetu poprzez NAT dla wszystkich komputerów w sieci
2.Ograniczyć dostęp do internetu dla wszystkich oprócz szefa (192.168.1.200) do połączeń HTTP/HTTPS oraz poczty email
3.Ograniczyć dostęp do internetu dla komputerów księgowości do połączeń HTTP/HTTPS z: ZUS (adresy: 212.244.187.133, 217.96.4.59) oraz bankiem (12.34.56.78)
4.Zablokować możliwość połączenia pomiędzy komputerami księgowości (bez szefa) a komputerami pracowników
5.Jeden z pracowników ma na firmowym komputerze (192.168.1.66) serwer FTP, który należy udostępnić w internecie (na interfejsie 80.80.80.81)
6.Linux ma mieć „na zewnątrz” udostępniony jedynie SSH dla administratora, który loguje się z zewnątrz wyłącznie z maszyny (88.88.88.88), oraz porty konieczne dla działania serwera DNS.
7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.
Uwaga:
-router nie może blokować ruchu ICMP
-wszystkie zapytania DNS z sieci lokalnych są kierowane do serwera na routerze
-porty wszystkich usług które są zablokowane na zewnątrz mają odpowiadać na pakiety „icmp port unreachable”
-należy użyć jak najmniejszej ilości reguł [/quote]
niestety nie mam za bardzo gdzie przetestowac tego, co stworzylem . . . jesli ktos ma ochote niech rzuci okiem i ew. poprawi : )
#!/bin/bash
##*********************************************
## zadanie 0 - przygotowania do routowania : )
##*********************************************
#
# wlaczanie forwardowania
#
echo 1>/proc/sys/net/ipv4/ip_forward
#
# czyszczenie
#
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
#
# ustawienie domyslnych akcji . . .
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
##*********************************************
## zadanie 1 - Dostęp do internetu poprzez NAT
## dla wszystkich komputerów w sieci
##*********************************************
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT
##*********************************************
## zadanie 2a - szef ma dostep wszedzie
##*********************************************
iptables -A FORWARD -s 192.168.1.200/32 -j ACCEPT
##*********************************************
## zadanie 3 - ksiegowosc - tylko http/https
## 212.244.187.133, 217.96.4.59 oraz 12.34.56.78
##*********************************************
iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p tcp --dport http -j ACCEPT
iptables -A FORWARD -s 192.168.1.128/25 -d 217.96.4.59 -p tcp --dport http -j ACCEPT
iptables -A FORWARD -s 192.168.1.128/25 -d 12.34.56.78 -p tcp --dport http -j ACCEPT
iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p tcp --dport https -j ACCEPT
iptables -A FORWARD -s 192.168.1.128/25 -d 217.96.4.59 -p tcp --dport https -j ACCEPT
iptables -A FORWARD -s 192.168.1.128/25 -d 12.34.56.78 -p tcp --dport https -j ACCEPT
iptables -A FORWARD -s 192.168.1.128/25 -d 212.244.187.133 -p udp --dport https -j ACCEPT
iptables -A FORWARD -s 192.168.1.128/25 -d 217.96.4.59 -p udp --dport https -j ACCEPT
iptables -A FORWARD -s 192.168.1.128/25 -d 12.34.56.78 -p udp --dport https -j ACCEPT
##*********************************************
## zadanie 2b - komputery inne niz szefa maja dostep tylko do http/https/e-mail
##jako ze w zadaniu 3 ustalilismy regulki dla ksiegowosci, tu rozpatrujemy tylko siec
##192.168.1.0/25
##*********************************************
iptables -A FORWARD -s 192.168.1.0/25 -p tcp --dport http -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25 -p tcp --dport https -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25 -p tcp --dport smtp -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25 -p tcp --dport pop-3 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25 -p udp --dport https -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/25 -p udp --dport pop-3 -j ACCEPT
##*********************************************
##zadanie 4
## Zablokować możliwość połączenia pomiędzy komputerami
## księgowości (bez szefa) a komputerami pracowników
##*********************************************
iptables -A FORWARD -s 192.168.1.0/25 -d 192.168.1.128/25 -j DROP
iptables -A FORWARD -d 192.168.1.0/25 -s 192.168.1.128/25 -j DROP
##*********************************************
##zadanie 5
## Jeden z pracowników ma na firmowym komputerze (192.168.1.66)
## serwer FTP, który należy udostępnić w internecie (na interfejsie 80.80.80.81 czyli eth0)
##*********************************************
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 20 -j DNAT --to 192.168.1.66:20
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.1.66:21
##*********************************************
##zadanie 6
## Linux ma mieć „na zewnątrz” udostępniony jedynie SSH dla administratora,
## który loguje się z zewnątrz wyłącznie z maszyny (88.88.88.88),
## oraz porty konieczne dla działania serwera DNS.
##*********************************************
iptables -A INPUT -s 88.88.88.88 -p udp --dport ssh -j ACCEPT
iptables -A INPUT -s 88.88.88.88 -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport domain -j ACCEPT
iptables -A INPUT -p udp --dport domain -j ACCEPT
[/quote]
przyznam, ze nie wiem jak poradzic sobie z uwagą o nieblokowaniu ruchu ICMP, takoz z zadaniem 7
poza tym, w zwiazku z uwaga nt. odpowiednich odpowiedzi uslug na zablokowanych portach przydaloby sie ustawic REJECT jako policy dla input ale to chyba nie jest mozliwe
a ogólnie w temacie iptables jestem średnio zorientowany : (
dzieki za ew. pomoc
na szczęście za rogiem jest żubr . . .Offline
przede wszystkim spójrz na ten [url=http://gorzow-wlkp.pl/linux/dodatkowe/ip.php]art[/url] maska [128] w skróconym zapisie to nie /24
Offline
przede wszystkim spójrz na ten [url=http://gorzow-wlkp.pl/linux/dodatkowe/ip.php]art[/url] maska [128] w skróconym zapisie to nie /24[/quote]
to wiem, ale w sa tu rzeczy ktore tu odnosza sie do obu pod sieci [czyli i 192.168.1.0 /25 i 192.168.1.128 /25]
wiec robie je niejako dla calej tej sieci 192.168.1.0 / 24 i z tego co sie orientuje to powinno zadzialac
na szczęście za rogiem jest żubr . . .
Offline
Co do
7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.
[/quote]
- Postawienie servera DHCP by przydzie;al adresy w sieci lokalnej mac+ip
- Statyczna tablica arp plik /etc/ether gdzie wpisujesz pary mac + IP
mysle ze to jest najprosze rozwiazanie oczywiscie jest ono do obejscia ale zawsze cos niz nic
[url=http://dug.net.pl][b]DUG[/b][/url]
Offline
Co do
7.Zaproponować sposób „przywiązania” adresu IP do MAC adresu, aby zapobiec podszywaniu się.
[/quote]
- Postawienie servera DHCP by przydzie;al adresy w sieci lokalnej mac+ip
- Statyczna tablica arp plik /etc/ether gdzie wpisujesz pary mac + IP
myślę ze to jest najprostsze rozwiązanie oczywiście jest ono do obejscia ale zawsze cos niz nic[/quote]
iptables tez potrafi przywiązać się do maca...
Ja używam w tym celu takich regułek:Kod:
#nie mac w ip, drop iptables -A FORWARD -m mac --mac-source ! 00:40:FF:7F:9F:FD -s 192.168.1.2 -j DROPOffline
Uwaga co do zadania nr. 1 w jaki sposób wszystkie komputery będą mieć dostęp do neta skoro dropujesz cały przychodzący ruch
Offline
ano faktycznie poszlam na latwizne uzylam innej metody niz iptables :]
to chyba z przepracowania czlowiek chodzi nakrecony :]
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00119 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='52.15.130.113' WHERE u.id=1 |
0.00072 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '52.15.130.113', 1730445893) |
0.00052 | SELECT * FROM punbb_online WHERE logged<1730445593 |
0.00058 | DELETE FROM punbb_online WHERE ident='85.208.96.203' |
0.00044 | SELECT topic_id FROM punbb_posts WHERE id=45539 |
0.00004 | SELECT id FROM punbb_posts WHERE topic_id=5959 ORDER BY posted |
0.00032 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=5959 AND t.moved_to IS NULL |
0.00029 | SELECT search_for, replace_with FROM punbb_censoring |
0.00131 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=5959 ORDER BY p.id LIMIT 0,25 |
0.00074 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=5959 |
Total query time: 0.00628 s |