nastaveni firewallu
Ing. Miroslav Cabarka
mirodoma na arka.sk
Čtvrtek Květen 17 20:49:04 CEST 2001
At 17:09 17.5.2001, you wrote:
>Dobry den,
>mam server s pevnym pripojenim k internetu. Pred neho chci umistit dalsi
>pocitac jako firewall. Na tomto firewallu je eth0 s verejnou adresou
>212.96.164.27 a eth0 s privatni adresou 10.192.0.70 . Server ma eth1 s
>privatni adresou 10.192.0.71.
>Na firewallu jsou nastavena tato pravidla:
>:input ACCEPT
>:forward ACCEPT
>:output ACCEPT
>-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
>-A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
>-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
>-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
>-A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT
>-A input -s 212.96.164.1 53 -d 0/0 -p udp -j ACCEPT
Predchadzajucich 6 riadkov je uplne zbytocnych, ak su v skutocnosti tie
prve 3 napisane spravne.
Toto ale nie je firewall. A nepomohlo by ani prepisat politiku na DENY. Je
to zle.
>-A input -s 0/0 -d 0/0 -p tcp -y -j REJECT
Toto len zakaze lubovolny TCP paket na lubovolnom rozhrani s nastavenym SYN
bitom, teda paket nadvazujuci spojenie. To ale asi nie je to, co ste chceli.
>-A input -s 0/0 -d 0/0 -p udp -j REJECT
Toto zakaze akykolvek UDP paket. To ste asi tiez nechceli.
>A dale je povoleno ip_forwarding.
To musi byt, lebo vsetky pakety prichadzajuce na eth0 pojdu dalej, ak
nebudete mat proxy. A urcite budete musiet mat maskovanie, ktore to vyzaduje.
>Chci, aby zvenku byl pristup pouze na sendmail, ssh a www.
>Ale nevim, jak zaridit, ze pozadavky prichazejici zvenku, ktere pujdou na
>eth0 firewallu se presmerovaly na eth0 serveru.
Toto som este nikdy neskusal. Teoria hovori, ze zlucenie vonkajsieho
routera s aplikacnym serverom je pripustne, ale zlucenie vnutorneho routera
NIE. To je koli tomu, ze ak Vam kompromituju vonkajsi router s aplikaciami,
este stale mate vnutorny router, ktory moze byt velmi pevny, lebo na nom
nebezia aplikacie, nie su uzivatelske ucty a podobne. Tomu sa hovori obrana
do hlbky. Ak by to bolo naopak, vonkajsi router vlastne nema nijaku zavaznu
obrannu funkciu a ked Vam kompromituju vnutorny router, maju celu Vasu
vnutornu siet ako na dlani.
Navrhujem umiestnit ten stroj, kde mate www server, mailserver, kesujuci
dns server a sshd von na internet, PORIADNE zabezpecit zvonku aj znutra,
nasadit proxy server a na vnutorne rozhranie pripojit druhy, takzvany
vnutorny router, ktory bude tvorit druhu hradbu. Na vnutornom bude
maskovanie (masquerading). Routovanie bude celkom jednoduche. Na tom
vonkajsom sa bude dat vypnut forwardovanie.
Pod poriadnym zabezpecenim si predstavujem aj vymenu sendmailu za nieco
lepsie. Ja mam qmail, nemam ho dlho, ale som spokojny, dobre sa konfiguruje
a funguje perfektne. DNS mam pomocou balika djbdns (oba na
http://cr.yp.to), konfiguruje sa dobre a mal by byt tiez omnoho bezpecnejsi
ako bind.
Ak mate zaujem, mozem Vam poslat priklady firewallovych skriptov pre
inspiraciu.
Zdravim
Pekny den
Ing. Miroslav Cabarka
mcabarka na arka.sk
mirodoma na arka.sk
ARKA, a.s.
Další informace o konferenci Linux