[Warrior]

Idézet: kroozo - Dátum: 2009. jan. 22., csütörtök - 15:17

...
Nevezetesen, egy tipikus tamadas ugye ugy nez ki, hogy a futo szolgaltatasok kozul probalok be valamelyikre, hogy szerezzek egy local accot a szolgaltatas accjanak jogaival ...

Azért aki flood-ol, az is "elérhet" valamit. Bár ez még szkriptkölyök-mozgalom.

Én csak ethernet protokollszinten gondolkodtam.

[kroozo]

Mi koze van az ethernet protokollnak ahhoz, hogy layer3ban mit mokolsz?

[Warrior]

Nem csak layer 3, layer 4 is.

Úgy értettem, hogy nem applikációs szinten (és szintre) történõ támadás.

Bocsi, közben látom, válaszoltam is: nem szó szerint "ethernet protokoll", csak alacsonyabb szintû réteg(ek)re gondoltam én is.

Szerkesztette: Warrior 2009. 01. 23. 11:32 -kor

[Joci]

Sziasztok!

Kellene egy kis segítség. Világ életemben (1998-tól mostanáig) ipchains-et használtam, mert elegendõ volt, és fõleg mert megszoktam.

Most viszont úgy gondolom ideje volna iptablesre váltani.

Tudnátok mutatni egy alap iptables scriptet?

Amire használva van a gép, amin kellene az iptables: helyi hálónak megosztja a netet, illetve fut rajta apache, de nem nagyüzemi használatra, csupán néhány maszek dolog/weblap elérhetõségét biztosítja.

Amit tudnia kellene a scriptnek:

- megosztani a netet a helyi háló összes gépére
- apache engedélyezése, meg még amit akarok
- néhány portot kellene  forwardolnia belsõ gépre
- alap biztonsági beállítások <- fõleg ebben kéne segítség, ehhez kéne minta, mert nem ismerem az iptables alap beállításait

Szóval egy egyszerû, nem agyonbonyolított komplett, mûködõ scriptre volna szükségem, ami masq-ol (ez a része mondjuk már most is mûködik, ennyit megtudtam oldani :>).

Két hálókártya van a gépben, eth0 - belsõ hálóra, eth1 - ezen jön a LAN-net.

Valakinek van ilyen kész scriptje?

Köszi!

[Joci]

Senki sem használ, szóval senkinek sincs egy mûködõ, masq-olos scriptje?

Na neee...

Örülnék tényleg nagyon egy mûködõ mintának, ami a fenti dolgokat tartalmazza (tilt minden bejövõt, de mindent kienged a hálózat bármely gépérõl, és maq-ol. Egyelõre ennyi kéne ).

[Lenny]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -F -t nat

iptables -t nat -A POSTROUTING -s <belsõ hálózat>/<mask> -o $eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT


Hirtelen ennyi. Így minden belsõ géprõl érkezõ kérést továbbít kifelé és maszkol.

[Joci]

Idézet: Lenny - Dátum: 2009. febr. 9., hétfõ - 21:32

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -F -t nat

iptables -t nat -A POSTROUTING -s <belsõ hálózat>/<mask> -o $eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT


Hirtelen ennyi. Így minden belsõ géprõl érkezõ kérést továbbít kifelé és maszkol.

Köszönöm. Ez már meg van, annyi kiegészítéssel, hogy portforward is van.

Igazából ami a gondom: ha elkezdem tiltani a bejövõ dolgokat, és csak bizonyos portokat engedek, amiket meg akarok nyitni (80as www port pl), akkor valahogy meghal az egész, kifele még magáról a routerrõl sem megy semmi...

Tehát arra szeretnék kérni mintát, hogy: titson minden bejövõt, kivéve a megadottakat (egyelõre ftp, www), viszont kifele minden menjen a géprõl, meg a hálózat bármely gépérõl.

Hiába adok egy "iptables -P OUTPUT ACCEPT"-et, akkor sem megy semmi kifele.

De lehet, hogy késõbb szúrok el valamit.

Francba, dejó is volt a jól mûködõ, már igen komoly szintre hegyezett ipchains tûzfalam

[Lenny]

Esetleg ha beírnád,hogy mik vannak idáig, akkor könnyebben tudnánk segíteni.

Amúgy meg a tcpdump paranccsal sok mindent ki lehet deríteni...

[kroozo]

Idézet: Joci - Dátum: 2009. febr. 9., hétfõ - 20:40

Köszönöm. Ez már meg van, annyi kiegészítéssel, hogy portforward is van.

Igazából ami a gondom: ha elkezdem tiltani a bejövõ dolgokat, és csak bizonyos portokat engedek, amiket meg akarok nyitni (80as www port pl), akkor valahogy meghal az egész, kifele még magáról a routerrõl sem megy semmi...

Tehát arra szeretnék kérni mintát, hogy: titson minden bejövõt, kivéve a megadottakat (egyelõre ftp, www), viszont kifele minden menjen a géprõl, meg a hálózat bármely gépérõl.

Hiába adok egy "iptables -P OUTPUT ACCEPT"-et, akkor sem megy semmi kifele.

De lehet, hogy késõbb szúrok el valamit.

Francba, dejó is volt a jól mûködõ, már igen komoly szintre hegyezett ipchains tûzfalam

Az output lanc a gep forgalmara vonatkozik csak (nemugy mint ipchainsnal), a routeolt gepek a forward tablan mennek keresztul.

[Joci]

Idézet: kroozo - Dátum: 2009. febr. 10., kedd - 3:30

Az output lanc a gep forgalmara vonatkozik csak (nemugy mint ipchainsnal), a routeolt gepek a forward tablan mennek keresztul.

Ooo köszönöm! Valószínûleg itt baltáztam el akkor.

Tudnátok akkor arra egy mintát, hogy hogyan csináljam meg a forward részt, amellett, hogy befele tehát tiltva legyen minden (csak a kivételes portok...), és a routetolt gépek viszont minden porton tudjanak kimenni?

Köszi!

[kroozo]

Idézet: Joci - Dátum: 2009. febr. 10., kedd - 5:57

Ooo köszönöm! Valószínûleg itt baltáztam el akkor.

Tudnátok akkor arra egy mintát, hogy hogyan csináljam meg a forward részt, amellett, hogy befele tehát tiltva legyen minden (csak a kivételes portok...), és a routetolt gépek viszont minden porton tudjanak kimenni?

Köszi!

Lasd fent pl. Kifele minden megy, befele csak amit explicit forwardolsz (pl -t nat -A PREROUTING -p tcp -i eth0 -d xxx.xxx.xxx.xxx --dport 80 -j DNAT --to 192.168.0.2:80), hiszen a NAT miatt nem cimezhetok a mogottes gepek a netrol kozvetlenul.

Ezert igazablol nem egyertelmu a befele tiltva legyen minden kerdes Hova befele?

[Warrior]

Így van. A bentrõl kifelé felépített kapcsolatokra visszajövõ válaszcsomagokat be kell engedni. Az is bejövõ (de nem hozzád kapcsolódnak, hanem csak válasz). A csomag fejlécében van infó arról, hogy új kapcsolódás, vagy csak válaszcsomag: a state modult használd:

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

persze egyéni szûréssel ki kell egészíteni ezt a szabályt, ez csak egy minta. De a lényeg: a felépült kapcsolatok csomagjait engedi.

Szerkesztette: Warrior 2009. 02. 10. 07:48 -kor

[Mono]

Bár sosincs jobb dolog annál, amikor az ember nulláról áll neki megtanulni valamit, nekem sok esetben könnyebb volt a firewall builderrel legyártatni a szkriptet. Tetszik, hogy Windows alatt is futtatható, ott kattintgatással beállítható minden, majd az alapján legyártja a tûzfalszkriptet.
Javaslom mindenkinek, aki nem ismeri, tanulni is nagyon sokat lehet belõle: http://www.fwbuilder.org/

[Joci]

Nos, jelenleg így néz ki a scriptem, rettenetesen hosszú )

#!/bin/sh

## 85-os port atiranyitas WS http-re
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 85 -j DNAT --to 192.168.123.2:80
iptables -A FORWARD -p tcp -i eth2 -d 192.168.123.2 --dport 80 -j ACCEPT

## natolas bekapcsolas, netmegosztas tobbi gepre
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Ez most azt tudja, hogy megy a net a helyi háló gépein, viszont kintrõl a router minden portja elérhetõ, így eléggé sebezhetõ.

Ezt szeretném megoldani, hogy a routerre csak az engedett portokon lehessen bemászni, minden más tiltva legyen, de a hálózat gépeirõl kifele minden mûködjön gond és korlátozás nélkül.

Remélem érthetõ.

Milyen kezdõ (DROP) sorokat kellene hozzáadnom, hogy ez megvalósuljon?

Tehát mégegyszer röviden, hogy mi kellene, látom kicsit érthetetlenül írtam le

A router gép kintrõl ne legyen elérhetõ, csak a megadott, engedett portokon (ehhez esetleg jó lenne 1-2 minta sor), kifele viszont minden menjen magáról a routerrõl és a masq-olt gépekrõl is, nemkell korlátozás.

Köszi!

[Lenny]

Amit írtam neked az errõl szól.

Legalább az INPUT és FORWARD lánc default policy-je DROP legyen! Késõbb az OUTPUT is mehet.

Alap szabály: minden tilos ami nem engedett!

Amit kifelejtettem, hogy a loopback-et engedd, különben a programok egy része nem fognak rendesen mûködni.

iptables -A INPUT -i lo -j ACCEPT

[Joci]

Idézet: Lenny - Dátum: 2009. febr. 10., kedd - 10:59

Amit írtam neked az errõl szól.

Legalább az INPUT és FORWARD lánc default policy-je DROP legyen! Késõbb az OUTPUT is mehet.

Alap szabály: minden tilos ami nem engedett!

Amit kifelejtettem, hogy a loopback-et engedd, különben a programok egy része nem fognak rendesen mûködni.

iptables -A INPUT -i lo -j ACCEPT

Köszi.

Akkor tudnál egy mintát még arra, hogy ha engedélyezni akarok egy portot, akkor azt hogyan oldjam meg?

[Joci]

Idézet: Joci - Dátum: 2009. febr. 10., kedd - 11:07

Köszi.

Akkor tudnál egy mintát még arra, hogy ha engedélyezni akarok egy portot, akkor azt hogyan oldjam meg?

Ez a sor jó lenne?

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

Ezt úgy néztem ki egy mintából, volt benne egy "-s 192.168.2.1" kapcsoló, ha kihagyom, és nem adok source IP-t, akkor mindenkit beenged? Ez volna az igényem.

Ha nem, milyen formátumban adjam meg?

[Lenny]

Idézet: Joci - Dátum: 2009. febr. 10., kedd - 10:07

Köszi.

Akkor tudnál egy mintát még arra, hogy ha engedélyezni akarok egy portot, akkor azt hogyan oldjam meg?

Hát lássuk.

pl. LAN= eth1 WAN=ppp0
belsõ hálózat: 192.168.123.0/255.255.255.0


iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -F -t nat

iptables -A INPUT -i lo -j ACCEPT

#NAT-olás engedélyezése
iptables -t nat -A POSTROUTING -s 192.168.123.0/255.255.255.0 -o ppp0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT

Ha egy belsõ gépre akarsz engedélyezni  valamit, akkor az általad leírtak jók.
Ha magán a tûzfalon fut valamilyen szolgáltatás, akkor csak egyszerûen engeded az input láncba.
Pl. SSH

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

illetve, hogy a felépített és épülõben lévõ kapcsolatokat is engedélyezzük(ezt elég csak egyszer megadni):

iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT

[Joci]

Idézet: Lenny - Dátum: 2009. febr. 10., kedd - 11:41

Hát lássuk.

pl. LAN= eth1 WAN=ppp0
belsõ hálózat: 192.168.123.0/255.255.255.0


iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -F -t nat

iptables -A INPUT -i lo -j ACCEPT

#NAT-olás engedélyezése
iptables -t nat -A POSTROUTING -s 192.168.123.0/255.255.255.0 -o ppp0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT

Ha egy belsõ gépre akarsz engedélyezni  valamit, akkor az általad leírtak jók.
Ha magán a tûzfalon fut valamilyen szolgáltatás, akkor csak egyszerûen engeded az input láncba.
Pl. SSH

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

illetve, hogy a felépített és épülõben lévõ kapcsolatokat is engedélyezzük(ezt elég csak egyszer megadni):

iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT

Köszi, már egészen kezd körvonalazódni bennem az egész

Most nem tudom kipróbálni, mert munkahelyrõl távolról ssh-zok az otthoni routerre, és tegnap is megszívtam, mert elcsesztem, és meghalt az egész, visszalépni se tudtam, meg a net is elment otthon.

[Joci]

Bénaságom határtalan, egyszerûen nem akar mûködni... mind addig jó, amíg az "extra" sorokat nem rakom bele. Abban a pillanatban meghal az egész mindenség, még a router saját eth0-s IPjét sem tudom pingelni, arról a géprõl sem, nem hogy másikról a hálózatban.

A scriptem az alábbiak szerint néz ki. Átnéznétek, és adnátok javaslatot, hogy mivel egészítsem ki?

A legbosszantóbb az, hogy hiába törlöm utána az egész iptables-t, ugyanúgy nem megy semmi. Egyáltalán, hogyan, mivel tudom "resetelni" az iptablest, ha rosszul sikerül?

Bizonyára roppant egyszerû a script hibája, vagy hiányossága, de nem tudom, hogy hogyan tovább...

Segítsetek légyszi'!

#!/bin/sh

##################################
### Torles INPUT OUTPUT and FORWARD lanc
##################################

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -F -t nat

iptables -A OUTPUT ACCEPT

##################################
### INPUT Lanc szabalyok
##################################

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 56416 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT


##################################
### FORWARD Lanc szabalyok, pl. port atiranyitasok
##################################

## 85-os port atiranyitas WS http-re
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 85 -j DNAT --to 192.168.123.2:80
iptables -A FORWARD -p tcp -i eth2 -d 192.168.123.2 --dport 80 -j ACCEPT

## Torrent atiranyitas WS-re
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 38383 -j DNAT --to 192.168.123.2:38383
iptables -A FORWARD -p tcp -i eth2 -d 192.168.123.2 --dport 38383 -j ACCEPT

##################################
### MASQUERADE, netmegosztas, natolas engedelyezese
##################################

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -i eth2 -j ACCEPT