Autor Téma: firewall,max. bezpecnost (Přečteno 3193 krát)

okias · « **kdy:** 05 Března 2007, 01:21:36 »

Ahoj,
potrebuju nastavit maximalni zabezpeci pro eth0, pro eth1(mistni sit) nepotrebuju zadny zabezpeceni.
Na eth0 pouzivam: aktualizace, kopete(icq,irc), torrent, ftp(jenom klient) a firefox(http,https).

Jinak eth0 musi byt sdilene v siti eth1(muj pc je jako router) a pocitace v siti potrebuji jenom http a https

Jediny co potrebuju je aby tyhle sluzby fungovaly v poradku a NIC jineho(ani ping).

Diky za rady(popripade navrhy konfigu)
0K1AS

PS: firewall asi firehol, ale pokud mate nekdo lepsi typ tak se prispusobim ;-)

Pavelp · « **Odpověď #1 kdy:** 05 Března 2007, 07:58:30 »

iptables -A -i eth0 -j DROP
iptables -A -i eth1 -j DROP
Zertuju.
Tohle Vam nikdo neporadi, maximalni zabezpeceni neexistuje.
Nastavte si default politiku vse zakazano a povolte jen to co potrebujete. Neni vylouceno, ze se dostanete do problemu, protoze nektere systemy vyuzivaji "ruzne cesty", napr. DHCP, SMB a podobne.

okias · « **Odpověď #2 kdy:** 05 Března 2007, 14:54:51 »

Citace: Pavelp

iptables -A -i eth0 -j DROP
iptables -A -i eth1 -j DROP
Zertuju.
Tohle Vam nikdo neporadi, maximalni zabezpeceni neexistuje.
Nastavte si default politiku vse zakazano a povolte jen to co potrebujete. Neni vylouceno, ze se dostanete do problemu, protoze nektere systemy vyuzivaji "ruzne cesty", napr. DHCP, SMB a podobne.

Ano, jestli chapu ty priklady spravne, tak by to doopravdu bylo nejbezpecnejsi, ale je mozne poslat nejak priklad configu tak aby aspon priblizne splnoval to co pisu(tedy co ma fungovat a co ne)? Posledne co jsem zapnul firewall tak me nesla v mistni siti samba(ovsem mistni sit eth1 nechci vubec omezovat...)

Diky 0K1AS

PS: ze maximalni bezpecnost neexistuje vim taky :-D ja myslel se pokusit o neco co by ji aspon pripominalo :-D

Starejbar · « **Odpověď #3 kdy:** 05 Března 2007, 15:52:56 »

Já jsem routování nastavoval podle HOW TO od Lukáše Svobody. Zkuste to, třeba vás to taky k něčemu přivede.

Pavelp · « **Odpověď #4 kdy:** 05 Března 2007, 17:29:43 »

Ja se nezabyvam fireholey a firestartery, mam na strojich ciste iptables a pokud jde o jejich nastaveni, drze opisuju od Ivana Norise (dejavix.sk). Prave samba dela nekdy problemy, kdyz se nastavi pravidla prilis restriktivni. Podrobnosti si zkuste najit na siti, urcite tam neco bude.
Pokud Vam bude chtit nekdo OPRAVDU masinu hacknout, pak to funguje jako v americkych spionaznich filmech, t.j. driv ci pozdej ji hackne i kdybyste tam mel nevimco.
Napriklad na routujicim stroji se nesmi zapomenout povolit broadcast z vnitrniho rozhrani po vnitrni siti, jinak jsou problemy se Sambou a domenami windows. Je toho zkratka dost na jednoduchou odpoved.
*******************************
Zahod vse z interfacu eth0
Zahod vse z interfacu eth1 ;-))

okias · « **Odpověď #5 kdy:** 05 Března 2007, 17:52:15 »

Citace: Pavelp

Ja se nezabyvam fireholey a firestartery, mam na strojich ciste iptables a pokud jde o jejich nastaveni, drze opisuju od Ivana Norise (dejavix.sk). Prave samba dela nekdy problemy, kdyz se nastavi pravidla prilis restriktivni. Podrobnosti si zkuste najit na siti, urcite tam neco bude.
Pokud Vam bude chtit nekdo OPRAVDU masinu hacknout, pak to funguje jako v americkych spionaznich filmech, t.j. driv ci pozdej ji hackne i kdybyste tam mel nevimco.
Napriklad na routujicim stroji se nesmi zapomenout povolit broadcast z vnitrniho rozhrani po vnitrni siti, jinak jsou problemy se Sambou a domenami windows. Je toho zkratka dost na jednoduchou odpoved.
*******************************
Zahod vse z interfacu eth0
Zahod vse z interfacu eth1 ;-))

ja vim, jak to funguje, ale do urcite miry je to ochrana lepsi nez nic...

okias · « **Odpověď #6 kdy:** 05 Března 2007, 18:08:11 »

Kód: [Vybrat]

version 5

# Accept all client traffic on any interface
# interface any world
# client all accept

DEFAULT_CLIENT_PORTS="1024:65535"

server_icq_ports="tcp/5190"
client_icq_ports="default"

interface eth1 internal
        protection      strong  10/sec  10
        policy          drop
        client  all     accept

interface eth0 external
        protection      strong  10/sec  10
        policy  drop
        client  all     accept

router  incoming inface eth0 outface eth1 # ktere sluzby uvnitr site budou pristupne zvenku, viz. Tipy na konci navodu
        route   dns     accept

router  outgoing inface eth1 outface eth0 # ktere sluzby v internetu budou pristupne zevnitr site
        masquerade # chceme provadet preklad adres
        route   dns     accept
        route   http    accept
        route   https   accept
        route   ftp     accept

Co takhle? nejake navrhy jak to jeste vice omezit?
Internet(eth0) ma aktivni ip.
V mistni siti(eth1) se pouziva jen firefox(http a https) a samba(jenom v ramci site eth1), zadne sluzby jako ftp a tak nejsou spusteny.
Na tomhle pocitaci kde to nastavuju jen firefox(http(s),ftp)icq,irc,torrent(asi jen jeden port dejme tomu 25252) a aktualizace...

LS · « **Odpověď #7 kdy:** 06 Března 2007, 00:01:25 »

To se zda byt OK. DNS smerem dovnitr je nutne povolit pouze v pripade, ze mate v lokalni siti nameserver s propagaci do vnejsiho internetu. Nemusite definovat porty pro ICQ, kdyz je pak stejne nepouzijete (na funkci firewallu to nema vliv).

luboš · « **Odpověď #8 kdy:** 06 Března 2007, 21:15:28 »

ahoj nainstaloval jsem si na ubuntu 6.06 Dapper, firestarter a přes jeho grafické prostředí jsem ho nastavil, někde jsem četl,že po startu systému mi už běží sám a nemusím znovu otevírat graf.prostředí. Jak si můžu zjistit, že je aktivní?

LS · « **Odpověď #9 kdy:** 06 Března 2007, 22:18:48 »

vypis nastavenych pravidel ziskate prikazem

Kód: [Vybrat]

sudo iptables --list