Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Firewall ako na to  (Přečteno 2826 krát)

LuKKaS

  • Návštěvník
  • Příspěvků: 10
Firewall ako na to
« kdy: 09 Května 2009, 15:34:50 »
Chcel by som sa vas spytat ... ako nastavit poriadne firewall na serveri? Viem ze plati ze Co je nepotrebne neotvarat a co neni otvorene neni nebezpecne ale napriklad ako spravit to ze ... napr ze program OpenSSH moze pouzivat port 22 a ziadny iny ? alebo ako najlepsie to zabezpecit ?
Alebo tak ze ... ked nainstalujem Ubuntu Server Uz netreba nic nastavovat ?

8472

  • Aktivní člen
  • *
  • Příspěvků: 460
  • Zivot je ako rebrik do kurina, kratky a osraty ...
Re: Firewall ako na to
« Odpověď #1 kdy: 10 Května 2009, 09:33:41 »
to najjednoduchsie:
Kód: [Vybrat]
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -i lo -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Logic clearly dictates that the needs of the many outweigh the needs of the few.

Fracty

  • Stálý člen
  • **
  • Příspěvků: 809
Re: Firewall ako na to
« Odpověď #2 kdy: 10 Května 2009, 10:17:10 »
ještě jednodušší

Kód: [Vybrat]
sudo ufw enable
sudo ufw default deny
sudo ufw allow ssh

tyto příkazy zapnou ufw a zakážou všechnu příchozí komunikaci krom portu 22 (ssh)
pro server více na
http://wiki.ubuntu.cz/UFW
a pro desktop
http://wiki.ubuntu.cz/GUFW

jinak ssh normálně používá 22 a měl by na něm i běžet...
« Poslední změna: 10 Května 2009, 10:19:49 od Fracty »

LuKKaS

  • Návštěvník
  • Příspěvků: 10
Re: Firewall ako na to
« Odpověď #3 kdy: 10 Května 2009, 12:32:47 »
Hej hej ... ale ked nedam sudo ufw default deny tak to nevadi ci hej ? :) ked si presnejsie definujem uz pravidla a overim si to sudo ufw status a mam tam urcite pravidla no nie ?

Fracty

  • Stálý člen
  • **
  • Příspěvků: 809
Re: Firewall ako na to
« Odpověď #4 kdy: 10 Května 2009, 14:21:08 »
přečtěte si wiki...

Krtko

  • Stálý člen
  • **
  • Příspěvků: 540
Re: Firewall ako na to
« Odpověď #5 kdy: 10 Května 2009, 17:05:49 »
A ked uz pristup odkial kolvek tak by asi bolo lepsie to riesit pomocou nejakej VPN - IPSec, OpenVPN, ...

Martin - ViPEr*CZ*

Re: Firewall ako na to
« Odpověď #6 kdy: 10 Května 2009, 17:09:50 »
A ked uz pristup odkial kolvek tak by asi bolo lepsie to riesit pomocou nejakej VPN - IPSec, OpenVPN, ...
No SSH mi přijde teda o mnoho lepší  8)
Open source is gold way... Mint 17.2, Debian 8.1 Jessie| Ubuntu Wiki (návody) | Google vyhledávač | Qt4 návody

Krtko

  • Stálý člen
  • **
  • Příspěvků: 540
Re: Firewall ako na to
« Odpověď #7 kdy: 11 Května 2009, 00:03:32 »
Vsetko zavisi od uzivatela a ludskej hluposti ;)

EDIT: toto nie je mierene voci nikomu. je to cisto obecny dotaz :)

marshall1727

  • Aktivní člen
  • *
  • Příspěvků: 307
Re: Firewall ako na to
« Odpověď #8 kdy: 11 Května 2009, 15:39:54 »
a jéje zase nějaké změny. naštěstí je UFW v defaultu vypnuté. myslíte, že když jsem prostě převzal toto nastavení ze starého serveru, že nebude fungovat?

Kód: [Vybrat]
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

exit 0
--
koupil jsem si nový server a ladím ho. proto to zde spamuju. (2xXeon5110; IntelServerBoard S5000PSL; 2x2x1GbECC;4xRaptor150G)

LuKKaS

  • Návštěvník
  • Příspěvků: 10
Re: Firewall ako na to
« Odpověď #9 kdy: 11 Května 2009, 18:12:50 »
hej hej ufw je defaultne vypnute tak som si ho zapnul :) tak ale potencialne je dobre nie ? nie ze budem mat otvorene vsetky porty a budem nachylny na utoky a tak ...

Fracty

  • Stálý člen
  • **
  • Příspěvků: 809
Re: Firewall ako na to
« Odpověď #10 kdy: 12 Května 2009, 10:29:15 »
prostě používejte ufw...

nastavte default policy na deny, povolte nutné porty, popř nastavte sdílení, pěkný návod je na anglické wiki..
jinak ufw používejte proto, že je udělané jednoduše a funguje naprosto rychle a efektivně, není to prostě dlouhé přemýšlení atd..není potřeba používat žádné skripty... jednou nastavíte a jedete..
« Poslední změna: 12 Května 2009, 10:31:02 od Fracty »

marshall1727

  • Aktivní člen
  • *
  • Příspěvků: 307
Re: Firewall ako na to
« Odpověď #11 kdy: 12 Května 2009, 10:54:21 »
/miniflame
no asi jo, ale tahle rada nepatri do sekce serveru. v tech navodech chybi jakekoliv sofistikovanejsi veci, jejichž potřeba se může vyskytnout. podle toho návodu nevím jak tam nastavím třeba něco takového:
Kód: [Vybrat]
iptables -t nat -A PREROUTING -s 192.168.1.97 -d 88.103.xxx.xxx -p tcp -m tcp --dport 25 -j DNAT --to 192.168.1.92:25
iptables -t nat -A PREROUTING -s 192.168.1.97 -d 88.103.xxx.xxx -p tcp -m tcp --dport 110 -j DNAT --to 192.168.1.92:110
iptables -t nat -A PREROUTING -d 10.0.0.2 -m tcp -p tcp --dport 60002 -j DNAT --to-destination 192.168.1.94:60002
iptables -t nat -A PREROUTING -d 10.0.0.2 -m udp -p udp --dport 60002 -j DNAT --to-destination 192.168.1.94:60002

urcite to nejak pujde a podle navodu se pulka stejne musi udelat pres iptables, ale takhle to je par radek. nicmene naprosto souhlasim ze to vypada, ze konecne nekdo udelal uzivatelsky privetivy FW pro desktop.
/miniflame
« Poslední změna: 12 Května 2009, 10:55:52 od marshall1727 »
--
koupil jsem si nový server a ladím ho. proto to zde spamuju. (2xXeon5110; IntelServerBoard S5000PSL; 2x2x1GbECC;4xRaptor150G)

Fracty

  • Stálý člen
  • **
  • Příspěvků: 809
Re: Firewall ako na to
« Odpověď #12 kdy: 12 Května 2009, 18:01:41 »
marshall1727
vzhledem k tomu, že se ufw stále vyvíjí, je pravděpodobné, že brzo bude možné jednoduše zadat přes ufw i přeposílání atd, v každém případě je nyní možné používat i iptables v ufw..

https://help.ubuntu.com/9.04/serverguide/C/firewall.html

jinak pokud někdo dělá vyloženě pořádný FW, tak asi použije přímo distribuci pro tvorbu FW ;)
« Poslední změna: 12 Května 2009, 18:03:12 od Fracty »

 

Provoz zaštiťuje spolek OpenAlt.