Re: (Utok ? (Žádný nebyl)) Porty www stránek

Petr Šobáň soban na centrum.cz
Sobota Prosinec 1 11:21:15 CET 2001 

On Fri, 30 Nov 2001, Dalibor Toman wrote:

> >
> > Podle vás třeba povolit 80 až 8888 :-(((((
> > To tam nemusí být žádný firewal a můžu rovnou povolit vše, a co potom
> > bezpečnost ?
>
> Nevim proc citis takovou potrebu chranit Internet pred Tvou siti. Mam pocit,
> ze vetisina firewallu je konfigurovana presne opacne - snazi se omezit
> prichozi
> konexe :-)

Protože normálně mám vše zakázané a potom povoluji různé porty IN,OUT.....

#!/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward

# Firewall

/sbin/iptables -X
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A FORWARD -p icmp -j ACCEPT

# local
/sbin/iptables -A OUTPUT -d 192.168.0.0/16 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT

/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT

# FORWARD
/sbin/iptables -A FORWARD -s 192.168.1.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.2.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -j ACCEPT


# SMTP
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 25 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 25 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 25 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 25 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 25 -i ppp0 -j ACCEPT

# DNS
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 53 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 53 -j ACCEPT

# WWW
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 80 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 80 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 80 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 80 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 80 -i ppp0 -j ACCEPT

# POP3
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 110 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 110 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 110 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 110 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 110 -i ppp0 -j ACCEPT

# NTP
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 123 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 123 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 123 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 123 -j ACCEPT

# https
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 443 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 443 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 443 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 443 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 443 -i ppp0 -j ACCEPT

# PGP
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 11371 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 11371 -i ppp0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 11371 -o ppp0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 11371 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 11371 -i ppp0 -j ACCEPT


# Zakazane loguj
/sbin/iptables -A OUTPUT -p tcp -j LOG
/sbin/iptables -A OUTPUT -p udp -j LOG
/sbin/iptables -A INPUT -p tcp -j LOG
/sbin/iptables -A INPUT -p udp -j LOG
/sbin/iptables -A FORWARD -p tcp -j LOG
/sbin/iptables -A FORWARD -p udp -j LOG


>
> Pokud chces povolit jen urcite sluzby pak misto routeru je lepsi pouzit
> proxy -
> pak mas jistotu, ze zadne protokoly nepodporovane danym proxy resenim
> neprojdou.

Pro www mám tam squida.

Jinak uvítám každou radu k vylepšení + jak tam nejlépe vrazit průchod na
FTP.

PS. Moc kolem iptables v češtině není, nebo jsem to neobjevil a toto jsou
pouze moje začátky.


-- 

/----------------------------------------\
|            Petr Šobáň                  |
|            Ostrava                     |
|----------------------------------------|
| e-mail soban(zavináč)centrum(tečka)cz  |
\----------------------------------------/

Další informace o konferenci Linux