hack RH7.2 pres ftpd
Zdenek Precek
zdenek na precek.cz
Pondělí Květen 6 09:54:49 CEST 2002
On Sat, 4 May 2002 at 21:23, Tomahawk wrote to linux na linux.cz:
> Problem s takovymi chybami je ten, ze firewall nic neresi... Paklize
> teda nemate zakazany port 21 :)
Hmm...
Mám RH7.0 a osvědčilo se mi následující nastavení v /etc/ppp/ip-up.local:
#!/bin/bash
# ip-up.local je volan s 5 parametry:
logger -it ${0##*/} "$@"
INTERFACE=$1
TTY=$2
SPEED=$3
IPADDR=$4
REMIP=$5
export PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/local/sbin
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_always_defrag
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
# pro ladeni
# echo "Zapiname firewall" | logger -it ${0##*/}
# input firewall
# nejdrive vsechno zakazeme
ipchains -P input DENY
# povolime prijem cehokoli odevsad krome Internetu
ipchains -A input -j ACCEPT -i \! $INTERFACE
# povolime ping
ipchains -A input -j ACCEPT -p ICMP --icmp-type echo-request
# povolime ICMP odpovedi
ipchains -A input -j ACCEPT -p ICMP --icmp-type echo-reply
ipchains -A input -j ACCEPT -p ICMP --icmp-type destination-unreachable
ipchains -A input -j ACCEPT -p ICMP --icmp-type time-exceeded
ipchains -A input -j ACCEPT -p ICMP --icmp-type timestamp-reply
ipchains -A input -j ACCEPT -p ICMP --icmp-type address-mask-reply
# povolime TCP pakety, ktere nemaji SYN (otevrena spojeni)
ipchains -A input -j ACCEPT -p TCP \! -y
# povolime prichozi TCP spojeni pro protokol 'auth'
ipchains -A input -j ACCEPT -p TCP --dport auth
# povolime UDP pakety DNS
ipchains -A input -j ACCEPT -p UDP --sport domain
# ostatni budeme logovat (a zahazovat)
ipchains -A input -l
# maskarada
# nejdrive vsechno zakazeme
ipchains -P forward DENY
# maskaradujeme jen lokalni sit
ipchains -A forward -j MASQ -i $INTERFACE -s 10.10.10.32/27
# timeouty(sec): TCP FIN UDP
ipchains -M -S 7200 10 160
# pro ladeni
# ipchains -L -v | logger -it ${0##*/}
A příslušně ip-down.local:
#!/bin/bash
# ip-up.local je volan s 5 parametry:
logger -it ${0##*/} "$@"
INTERFACE=$1
TTY=$2
SPEED=$3
IPADDR=$4
REMIP=$5
export PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin:/usr/local/bin:/usr/local/sbin
# pripojeni na providera
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/ip_always_defrag
echo 0 > /proc/sys/net/ipv4/ip_dynaddr
# vypneme firewall a zrusime maskaradu
ipchains -F
for chain in input forward
do
ipchains -P $chain ACCEPT
done
Stačí čtvrthodina připojení a ve /var/log/messages se pak najde dost zajímavé čtení.
Na lokální (privátní) síti přitom můžu dělat všechno možné.
Samozřejmě nechci tímto tvrdit, že sledování security alertů a
příslušné updaty jsou zbytečné...
--
v v v | +420-603-250602 | SCP (")
Ing. ZDENEK PRECEK | +420-2-72933044 | 5200 _ \/\
___________________| Augustinova 2064/14 | __ \/\\ _
zdenek na precek.cz | Praha 4, Chodov | | /| / \/
http://precek.cz | 148 00 | |//| _|
Další informace o konferenci Linux