Kéne egy-két iptables ötlet

(7 Oldal)
« Elsõ
←
3
4
5
6
7
→

Nem indíthatsz témát.
A téma zárva.

Kéne egy-két iptables ötlet Értékeld a témát:

#81 kroozo

Őstag

Csoport: Fórumtag
Hozzászólások: 21.900
Csatlakozott: --

Elküldve: 2007. 03. 13. 14:17

Legyél oly jó, és mutasd meg létszi, hogy mit csináltál?

(Egyébként én ilyesmire kétfejû dnst csinálnék, ami belülre a belsõ címet szolgáltatja...)

And as we wind on down the road
Our shadows taller than our soul.

“It is often said that before you die your life passes before your eyes. It is in fact true. It's called living.”

${lang:go_to_top}$
Tetejére of the page up there ^

#82 Lenny

Őstag

Csoport: Fórumtag
Hozzászólások: 5.995
Csatlakozott: --

Elküldve: 2007. 03. 13. 14:23

Idézet: kroozo - Dátum: 2007. márc. 13., kedd - 14:17

Legyél oly jó, és mutasd meg létszi, hogy mit csináltál?

(Egyébként én ilyesmire kétfejû dnst csinálnék, ami belülre a belsõ címet szolgáltatja...)

Igen, én is erre gondoltam, hogy local dns-t és a külsõkre, meg megadni egy forwarder-t.

De gondoltam egy sorral könnyebb megoldani..

Viszont tényleg jó lenne látni mi van idáig... legalábbis az ide esõ részt...

-A biztonsági öv lehet hogy korlátoz a mozgásban, de még mindig nem annyira mint a tolószék.
-Minden reggel mikor felkelek tudom, hogy aznap csak egy jó dolog vár rám. A lefekvés! :)
-A Linux nem Windows, de a Windows se Linux

${lang:go_to_top}$
Tetejére of the page up there ^

#83 FaBatka007

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 17
Csatlakozott: --

Elküldve: 2007. 03. 13. 15:04

iptables -A FORWARD -i $EXTIF -o $INTIF -d 192.168.0.200 -p tcp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $INTIP --dport 443 -j DNAT --to 192.168.0.200:443

kezdõ lennék, úgyhogy csak óvatosan a kérdésekkel:)

${lang:go_to_top}$
Tetejére of the page up there ^

#84 Lenny

Őstag

Csoport: Fórumtag
Hozzászólások: 5.995
Csatlakozott: --

Elküldve: 2007. 03. 13. 15:50

Idézet: FaBatka007 - Dátum: 2007. márc. 13., kedd - 15:04

iptables -t nat -A PREROUTING -p tcp -d www.valami.hu --dport 443 -j DNAT --to-destination 192.168.0.200

${lang:go_to_top}$
Tetejére of the page up there ^

#85 FaBatka007

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 17
Csatlakozott: --

Elküldve: 2007. 03. 13. 16:48

Idézet: Lenny - Dátum: 2007. márc. 13., kedd - 15:50

iptables -t nat -A PREROUTING -p tcp -d www.valami.hu --dport 443 -j DNAT --to-destination 192.168.0.200

gondolom ezt sort az én prerouting szabályom helyett kellene beírni a te verziódat

${lang:go_to_top}$
Tetejére of the page up there ^

#86 Lenny

Őstag

Csoport: Fórumtag
Hozzászólások: 5.995
Csatlakozott: --

Elküldve: 2007. 03. 13. 17:08

Idézet: FaBatka007 - Dátum: 2007. márc. 13., kedd - 16:48

gondolom ezt sort az én prerouting szabályom helyett kellene beírni a te verziódat

Igen.

Elvileg akárhonnan jön a kérés, egybõl a belsõ gépre tolja át.

${lang:go_to_top}$
Tetejére of the page up there ^

#87 Lenny

Őstag

Csoport: Fórumtag
Hozzászólások: 5.995
Csatlakozott: --

Elküldve: 2007. 06. 07. 16:18

A következõt kellene megoldanom.

Adott egy tûzfal. Mögötte egy web-es e-mail rendszer. Internet felõl https-n keresztül elérhetõ.
A 443-as portot forward-olom befele ez sima ügy. DE!

Van egy web-es felületen konfigurálható SPAM szûrõ. Ez internet felõl http-n keresztül elérhetõ a 8000-s porton.
Viszont ezt nem szeretnék, hanem ez is https-n keresztül. Ebben az esetben a spam szûrõ oldala is a https 443-as portját használná.
Gondoltam kintrõl mondjuk a 8443-as portot forward-olom a spam 443-as portjára valahogy így:

iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 8443 -j DNAT --to-destination w.x.y.z:443
iptables -A FROWARD -i $WAN -p tcp --dport 8443 -j ACCEPT

Elvieleg ennek mennie kell. Természetesen az RELATED,ESTABLISHED kapcsolatok engedve vannak.
Ha simán átengedem a 8000-s portot http-vel akkor megy.

Valami tipp?

${lang:go_to_top}$
Tetejére of the page up there ^

#88 Friczy

Senior tag

Csoport: Fórumtag
Hozzászólások: 2.362
Csatlakozott: --

Elküldve: 2007. 06. 08. 07:05

Idézet: Lenny - Dátum: 2007. jún. 7., csütörtök - 17:18

A PREROUTING láncban elhelyezett DNAT átírta a célportot a 443-ra. Ennek megfelelõen a FORWARD láncban is a 443-as portot kell engedélyezni, nem pedig a 8443-at, ahogy te írtad.

Friczy
Death is not a bug, it's a feature
Hogyan kérdezzünk okosan?

${lang:go_to_top}$
Tetejére of the page up there ^

#89 Lenny

Őstag

Csoport: Fórumtag
Hozzászólások: 5.995
Csatlakozott: --

Elküldve: 2007. 06. 08. 08:25

Idézet: Friczy - Dátum: 2007. jún. 8., péntek - 8:05

A PREROUTING láncban elhelyezett DNAT átírta a célportot a 443-ra. Ennek megfelelõen a FORWARD láncban is a 443-as portot kell engedélyezni, nem pedig a 8443-at, ahogy te írtad.

Az engedve van, mert van egy másik https forgalom beengedve.
Részlet:

Ez engedi be a https-n futó webmail-re:
iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 443 -j DNAT --to-destination 192.168.0.160

Ez lenne a spam szûrõ web felületére:

iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 8443 -j DNAT --to-destination 192.168.0.170:443

Akkor elvileg ez mindkét forgalmat engedi.

iptables -A FORWARD -i $WAN -p tcp --dport 443 -j ACCEPT

${lang:go_to_top}$
Tetejére of the page up there ^

#90 Friczy

Senior tag

Csoport: Fórumtag
Hozzászólások: 2.362
Csatlakozott: --

Elküldve: 2007. 06. 08. 10:37

Idézet: Lenny - Dátum: 2007. jún. 8., péntek - 9:25

Igen. Debugold akkor. Gyõzõdj meg róla, hogy ha kívülrõl megpróbálsz bemenni, akkor növekszik a számláló a preroutingban és a forwardban (utóbbi nehezebb, mert itt már két külön forgalomtípus van). Ha igen, akkor akassz tcpdumpot a lábakra és figyeld a forgalmat.

Azt is elképzelhetõnek tartom, hogy a belsõ webserver - mivel õ magáról úgy tudja, hogy a 443-as porton kell õt támadni - a klienst átküldi a 443-ra, ahol viszont szerencsétlen nem azt látja, amit kellene. Bár ilyenkor kliensoldalon legalább a server certificate-jét kellene látni. Ha így van, akkor ezt az apache oldalán kell megpiszkálni, akár úgy is, hogy megmondod neki, hogy figyeljen a 8443 porton (is), és oda forwardolod be a bejövõ kéréseket.

Friczy
Death is not a bug, it's a feature
Hogyan kérdezzünk okosan?

${lang:go_to_top}$
Tetejére of the page up there ^

#91 Lenny

Őstag

Csoport: Fórumtag
Hozzászólások: 5.995
Csatlakozott: --

Elküldve: 2007. 06. 08. 14:10

Idézet: Friczy - Dátum: 2007. jún. 8., péntek - 11:37

Azt nem tudom, hogy ilynekor hogy kellene megadni a címet?

https://domain.hu:8443

vagy

http://domain.hu:8443

:think:

${lang:go_to_top}$
Tetejére of the page up there ^

#92 Friczy

Senior tag

Csoport: Fórumtag
Hozzászólások: 2.362
Csatlakozott: --

Elküldve: 2007. 06. 08. 14:34

Idézet: Lenny - Dátum: 2007. jún. 8., péntek - 15:10

Azt nem tudom, hogy ilynekor hogy kellene megadni a címet?

https://domain.hu:8443

vagy

http://domain.hu:8443

:think:

Az elõbbi, azaz https.

Friczy
Death is not a bug, it's a feature
Hogyan kérdezzünk okosan?

${lang:go_to_top}$
Tetejére of the page up there ^

#93 dash

Csoport: Fórumtag
Hozzászólások: 490
Csatlakozott: --

Elküldve: 2007. 06. 15. 08:20

Adott egy Suse 10.1. Szeretném minél jobban megismerni, csak az a gáz, hogy még direkte a modemet sem telepítettem fel, mivel baromira nem látom át, hogy egy linuxos tûzfal avagy behatolásmegelõzõ-rendszer (IPS)

hogyan és milyen mélységig garantálja a biztonságomat a net felõl érkezõ támadások ellen. A gépen pedig kb. az öszödi beszéd idei revíziója is megtalálható :nevet2:

, szóval nagyon féltem és még véletlenül sem akarom hogy valaki nyúlkáljon. Emiatt a jelenlegi állapot az enyhénszólva körülményes rebootolgatás.
Hallottam a firestarterrõl például, meg még néhány ilyen GUI-s linuxos tûzfalról. Ezek mennyire védenek meg mondjuk böngészés és torrentezés közben (egy valag kapcsolattal)?
Azért írtam ebbe a totyikba, mert "maximalizmusom" révén a végcél úgyis az IPTABLES megtanulása lesz, csak ahogy elnézem ez nem kevés idõt fog igénybevenni.
Vagy lehet hogy egy ilyen 'sima' netezéshez nem is kell annyit szarakodni az IPTABLES-sel?? Légyszi adjatok valami kiindulóponot, mert nagyon el vagyok veszve... A végcél egy Norton Internet Security szintû védelem kialakítása lenne, remélem hogy ez az összehasonlítás nem számít istenkáromlásnak linuxos körökben.

Elõre is köszi a segítséget mindenkinek!

For every friend who joins Dropbox, we'll give you both 250 MB of bonus space (up to a limit of 3 GB)!

Nem a linuxot nehéz megtanulni, hanem a windows "hülyeségeit" elfelejteni.

Köpött a maci, fújt a bõrgyár.

${lang:go_to_top}$
Tetejére of the page up there ^

#94 dash

Csoport: Fórumtag
Hozzászólások: 490
Csatlakozott: --

Elküldve: 2007. 06. 15. 08:25

P.S.: A Nortonnak természetesen csak a tûzfal részét idéztem a vírusírtó meg a többi csilivili az más tészta.

${lang:go_to_top}$
Tetejére of the page up there ^

#95 Lenny

Őstag

Csoport: Fórumtag
Hozzászólások: 5.995
Csatlakozott: --

Elküldve: 2007. 06. 15. 08:53

Mondhatni sima netezéshez semmi extra nem kell. Kintrõl minden új kapcsolatot tiltasz és kész.

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -i lo -j ACCEPT
iptables -i PPP0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Ez beállítja neked, hogy alapból mindent tilt és csak az épülõ illetve már felépített kapcsolatot fogja engedélyezni.

Ennyi.

${lang:go_to_top}$
Tetejére of the page up there ^

#96 dash

Csoport: Fórumtag
Hozzászólások: 490
Csatlakozott: --

Elküldve: 2007. 06. 15. 09:32

Lenny: És p2p-hez?
Amúgy köszönöm a választ!

${lang:go_to_top}$
Tetejére of the page up there ^

#97 Lenny

Őstag

Csoport: Fórumtag
Hozzászólások: 5.995
Csatlakozott: --

Elküldve: 2007. 06. 15. 09:36

Idézet: dash - Dátum: 2007. jún. 15., péntek - 10:32

Lenny: És p2p-hez?
Amúgy köszönöm a választ!

Ott ugyanez meradhat, annyi különbséggel, hogy ott meg kell adnod egy portot, amin bejönnek. Azt megnyitod.

pl. a 1440-es porton tudnak cswatlakozni hozzád, akkor

iptables -A INPUT -i PPP0 -p tcp --dport 1440 -j ACCEPT

${lang:go_to_top}$
Tetejére of the page up there ^

#98 dash

Csoport: Fórumtag
Hozzászólások: 490
Csatlakozott: --

Elküldve: 2007. 06. 15. 09:36

Még valami:
Amit írtál az megvéd mindenféle Portscan, NMap Xmas Scan... nyalánkságoktól? :confused:

${lang:go_to_top}$
Tetejére of the page up there ^

#99 Lenny

Őstag

Csoport: Fórumtag
Hozzászólások: 5.995
Csatlakozott: --

Elküldve: 2007. 06. 15. 09:45

Idézet: dash - Dátum: 2007. jún. 15., péntek - 10:36

Még valami:
Amit írtál az megvéd mindenféle Portscan, NMap Xmas Scan... nyalánkságoktól? :confused:

Amit írtam eldobja az összes kapcsolatot. Tehát gyakorlatilag egy port sincs nyitva. Bárki aki közvetlenül akar támadni nem sokat ér, mert egyik csomagot se fogja elfogadni.

Ha kinyitod az egyik portot, akkor az amögöt futó alkalmazás lesz támadva.
Ezt eléggé nehéz védeni. spoof ellen írsz némi szabályt.
Guglizz egy kicsit...

${lang:go_to_top}$
Tetejére of the page up there ^

#100 Mono

Őstag

Csoport: Fórumtag
Hozzászólások: 16.750
Csatlakozott: --

Elküldve: 2007. 06. 15. 09:47

Tûzfalszkript begépeléséhez alternatívaként nagyon tudom ajánlani a disztróban benne levõ fwbuilder nevû csomagot. Grafikus, átlátható, kattintgatással legenerál neked annak alapján egy iptables szkriptet.

Adjon az Isten, szebb jövõt!