nastaveni firewallu

Ing. Miroslav Cabarka mirodoma na arka.sk
Čtvrtek Květen 17 20:49:04 CEST 2001


At 17:09 17.5.2001, you wrote:
>Dobry den,
>mam server s pevnym pripojenim k internetu. Pred neho chci umistit dalsi
>pocitac jako firewall. Na tomto firewallu je eth0 s verejnou adresou
>212.96.164.27 a eth0 s privatni adresou 10.192.0.70 . Server ma eth1 s
>privatni adresou 10.192.0.71.
>Na firewallu jsou nastavena tato pravidla:
>:input ACCEPT
>:forward ACCEPT
>:output ACCEPT
>-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
>-A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
>-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
>-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
>-A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT
>-A input -s 212.96.164.1 53 -d 0/0 -p udp -j ACCEPT
Predchadzajucich 6 riadkov je uplne zbytocnych, ak su v skutocnosti tie 
prve 3 napisane spravne.
Toto ale nie je firewall. A nepomohlo by ani prepisat politiku na DENY. Je 
to zle.

>-A input -s 0/0 -d 0/0 -p tcp -y -j REJECT
Toto len zakaze lubovolny TCP paket na lubovolnom rozhrani s nastavenym SYN 
bitom, teda paket nadvazujuci spojenie. To ale asi nie je to, co ste chceli.

>-A input -s 0/0 -d 0/0 -p udp -j REJECT
Toto zakaze akykolvek UDP paket. To ste asi tiez nechceli.

>A dale je povoleno ip_forwarding.

To musi byt, lebo vsetky pakety prichadzajuce na eth0 pojdu dalej, ak 
nebudete mat proxy. A urcite budete musiet mat maskovanie, ktore to vyzaduje.

>Chci, aby zvenku byl pristup pouze na sendmail, ssh a www.
>Ale nevim, jak zaridit, ze pozadavky prichazejici zvenku, ktere pujdou na
>eth0 firewallu se presmerovaly na eth0 serveru.

Toto som este nikdy neskusal. Teoria hovori, ze zlucenie vonkajsieho 
routera s aplikacnym serverom je pripustne, ale zlucenie vnutorneho routera 
NIE. To je koli tomu, ze ak Vam kompromituju vonkajsi router s aplikaciami, 
este stale mate vnutorny router, ktory moze byt velmi pevny, lebo na nom 
nebezia aplikacie, nie su uzivatelske ucty a podobne. Tomu sa hovori obrana 
do hlbky. Ak by to bolo naopak, vonkajsi router vlastne nema nijaku zavaznu 
obrannu funkciu a ked Vam kompromituju vnutorny router, maju celu Vasu 
vnutornu siet ako na dlani.

Navrhujem umiestnit ten stroj, kde mate www server, mailserver, kesujuci 
dns server a sshd von na internet, PORIADNE zabezpecit zvonku aj znutra, 
nasadit proxy server a na vnutorne rozhranie pripojit druhy, takzvany 
vnutorny router, ktory bude tvorit druhu hradbu. Na vnutornom bude 
maskovanie (masquerading). Routovanie bude celkom jednoduche. Na tom 
vonkajsom sa bude dat vypnut forwardovanie.

Pod poriadnym zabezpecenim si predstavujem aj vymenu sendmailu za nieco 
lepsie. Ja mam qmail, nemam ho dlho, ale som spokojny, dobre sa konfiguruje 
a funguje perfektne. DNS mam pomocou balika djbdns (oba na 
http://cr.yp.to), konfiguruje sa dobre a mal by byt tiez omnoho bezpecnejsi 
ako bind.

Ak mate zaujem, mozem Vam poslat priklady firewallovych skriptov pre 
inspiraciu.

Zdravim
Pekny den

Ing. Miroslav Cabarka
mcabarka na arka.sk
mirodoma na arka.sk
ARKA, a.s.



Další informace o konferenci Linux