hack RH7.2 pres ftpd

Zdenek Precek zdenek na precek.cz
Pondělí Květen 6 09:54:49 CEST 2002


On Sat, 4 May 2002 at 21:23, Tomahawk wrote to linux na linux.cz:

> Problem s takovymi chybami je ten, ze firewall nic neresi... Paklize
> teda nemate zakazany port 21 :)

Hmm...
Mám RH7.0 a osvědčilo se mi následující nastavení v /etc/ppp/ip-up.local:
  #!/bin/bash
  # ip-up.local je volan s 5 parametry:
  logger -it ${0##*/} "$@"
  INTERFACE=$1
  TTY=$2
  SPEED=$3
  IPADDR=$4
  REMIP=$5
  export PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/local/sbin
  	echo 1 > /proc/sys/net/ipv4/ip_forward
  	echo 1 > /proc/sys/net/ipv4/ip_always_defrag
  	echo 1 > /proc/sys/net/ipv4/ip_dynaddr
  # pro ladeni
  #	echo "Zapiname firewall" | logger -it ${0##*/}
  # input firewall
    # nejdrive vsechno zakazeme
  	ipchains -P input DENY
    # povolime prijem cehokoli odevsad krome Internetu
  	ipchains -A input -j ACCEPT -i \! $INTERFACE
    # povolime ping
  	ipchains -A input -j ACCEPT -p ICMP --icmp-type echo-request
    # povolime ICMP odpovedi
  	ipchains -A input -j ACCEPT -p ICMP --icmp-type echo-reply
  	ipchains -A input -j ACCEPT -p ICMP --icmp-type destination-unreachable
  	ipchains -A input -j ACCEPT -p ICMP --icmp-type time-exceeded
  	ipchains -A input -j ACCEPT -p ICMP --icmp-type timestamp-reply
  	ipchains -A input -j ACCEPT -p ICMP --icmp-type address-mask-reply
    # povolime TCP pakety, ktere nemaji SYN (otevrena spojeni)
  	ipchains -A input -j ACCEPT -p TCP \! -y
    # povolime prichozi TCP spojeni pro protokol 'auth'
  	ipchains -A input -j ACCEPT -p TCP --dport auth
    # povolime UDP pakety DNS
  	ipchains -A input -j ACCEPT -p UDP --sport domain
    # ostatni budeme logovat (a zahazovat)
  	ipchains -A input -l
  # maskarada
    # nejdrive vsechno zakazeme
  	ipchains -P forward DENY
    # maskaradujeme jen lokalni sit
  	ipchains -A forward -j MASQ -i $INTERFACE -s 10.10.10.32/27
    # timeouty(sec):      TCP FIN UDP
  	ipchains -M -S 7200  10 160
  # pro ladeni
  #	ipchains -L -v | logger -it ${0##*/}

A příslušně ip-down.local:
  #!/bin/bash
  # ip-up.local je volan s 5 parametry:
  logger -it ${0##*/} "$@"
  INTERFACE=$1
  TTY=$2
  SPEED=$3
  IPADDR=$4
  REMIP=$5
  export PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/local/sbin
  # pripojeni na providera
  	echo 0 > /proc/sys/net/ipv4/ip_forward
  	echo 0 > /proc/sys/net/ipv4/ip_always_defrag
  	echo 0 > /proc/sys/net/ipv4/ip_dynaddr
  # vypneme firewall a zrusime maskaradu
  	ipchains -F
  	for chain in input forward
  	do
  		ipchains -P $chain ACCEPT
  	done

Stačí čtvrthodina připojení a ve /var/log/messages se pak najde dost zajímavé čtení.

Na lokální (privátní) síti přitom můžu dělat všechno možné.

Samozřejmě nechci tímto tvrdit, že sledování security alertů a
příslušné updaty jsou zbytečné...

-- 
         v   v v   | +420-603-250602     | SCP    (")
Ing. ZDENEK PRECEK | +420-2-72933044     | 5200  _  \/\
___________________| Augustinova 2064/14 |    __  \/\\  _
 zdenek na precek.cz  | Praha 4, Chodov     |   | /|   / \/
 http://precek.cz  | 148 00              |   |//| _|



Další informace o konferenci Linux