Hi! Egy kicsit elkapkodtam a konfigot... :) Szoval meg1x, hogy mit is akarok. Van egy halozat 10.0.0.0/24, nincs DMZ. A 10.0.0.1 a szerver ami modemen kapcsolodik a netre, ez lenne a tuzfal. Ezen fut meg DNS a helyi halonak, SMTP (sendmail). Azt szeretnem, ha a 10.0.0.1-en levo tuzfal megvedene a nettol. :) Szoval a helyi halobol minden gep kimehet, kintrol viszont semmi ne tudjon bejonni (leszamitva a valaszcsomagokat). Szoval eloszor is ehhez kellene egy ipchains konfig. Namarmost... ehhez eddig az ipchains maszkolt es azt mondtatok zorp-nal nem kell maszkolas. Gondolom o csinalja... Szoval igy nez ki most a tervezett ipchains konfig, tudom meg nem jo, de hol kellene javitani: #!/bin/bash # modprobe ipchains # Anti-spoofing, "forrascim hitelesites", maszkolas nincs. for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done # alap policy, az input lancon szurok: ipchains -P input ACCEPT ipchains -P output ACCEPT ipchains -P forward ACCEPT # www, ftp, ssh, smtp, dns, pop3 portok atkuldese a zorp adott portjaira: ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 80 -j REDIRECT 50080 ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 21 -j REDIRECT 50021 ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 22 -j REDIRECT 50022 ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 25 -j REDIRECT 50025 ipchains -A input -p tcp -s 10.0.0.0/24 -d 0/0 110 -j REDIRECT 50110 # internet felol erkezo valaszcsomagok beengedese ( "! -y" : nem SYN, azaz nem kapcsolatkezdemenyezo csomag): ipchains -A input -p tcp -s 0/0 80 ! -y -j REDIRECT 50080 ipchains -A input -p tcp -s 0/0 21 ! -y -j REDIRECT 50021 ipchains -A input -p tcp -s 0/0 22 ! -y -j REDIRECT 50022 ipchains -A input -p tcp -s 0/0 25 ! -y -j REDIRECT 50025 ipchains -A input -p tcp -s 0/0 110 ! -y -j REDIRECT 50110 # ICMP csomagok beengedese internet felol: ipchains -A input -p icmp --icmp-type destination-unreachable -s 0/0 -j ACCEPT ipchains -A input -p icmp --icmp-type source-quench -s 0/0 -j ACCEPT ipchains -A input -p icmp --icmp-type time-exceeded -s 0/0 -j ACCEPT ipchains -A input -p icmp --icmp-type parameter-problem -s 0/0 -j ACCEPT # DNS csomagok (53 port) engedese kivulrol es belulrol: ipchains -A input -p tcp -s 0/0 -d 0/0 53 -j ACCEPT ipchains -A input -p udp -s 0/0 -d 0/0 53 -j ACCEPT # minden egyeb csomag tiltasa es logolasa: ipchains -A input -j REJECT -l # end of ipchains script file. # -------------------------------------- Az icmp csomagokat a zorpon hol kellene atengednem? Az ACCEPT-ekben nem vagyok benne biztos hogy jok. Ezeket maszkolni kellene, nem? A DNS (53-as port) csomagjait is a zorp-ra kellene kuldeni, nem? Please help!! Bye! ---------------------- Linux RedHat 7.1 ----------------------
A levelezőm azt hiszi, hogy MG a következőeket írta:
Hi!
Egy kicsit elkapkodtam a konfigot... :) Szoval meg1x, hogy mit is akarok. Van egy halozat 10.0.0.0/24, nincs DMZ. A 10.0.0.1 a szerver ami modemen kapcsolodik a netre, ez lenne a tuzfal. Ezen fut meg DNS a helyi halonak, SMTP (sendmail). Azt szeretnem, ha a 10.0.0.1-en levo tuzfal megvedene a nettol. :) Szoval a helyi halobol minden gep kimehet, kintrol viszont semmi ne tudjon bejonni (leszamitva a valaszcsomagokat).
Szoval eloszor is ehhez kellene egy ipchains konfig. Namarmost... ehhez eddig az ipchains maszkolt es azt mondtatok zorp-nal nem kell maszkolas. Gondolom o csinalja...
Hi! Én azt szoktam, hogy az rp_filteren kívül biztos ami biztos csinálok antispoof chaint is. Ezen kívül van egy zajredukáló chainem, amin a papagály protokollok logolás nélkül szűrődnek ki (ezen kívül minden dropot logolok). Mindezek után interface-enként szoktam nyomni a chaineket, egyet azokra, amik direktben az interface-t címzik, egyet pedig a transzparensekre. Onnan pedig rendszerenként teszem át. A rendszerspecifikus chaineket pedig a Zorp tölti. Iptablesben a transzparens és rendszerspecifikus chainek, a spoof és a zajredukció a preroutingban van, a lokális pedig az inputban, ugyanúgy mint ipchainsnél. A default policy inputnál és forwardnál deny, outputnál accept, iptablesnél a fentieken kívül a prerouting drop, a postrouting és a natos output accept. Mint mondtam minden amit dropolok acceptre kerül. Majdnem minden chain végén van "catchall" rule, ami mindent dob és logol. ipchainshez ipchains-save -et és ipchains-restore-t használok, egy cpp szerű preprocesszorral előtte (Bazsiéknak is van egy ilyenjük asszem), iptablesnél egyelőre maradok a shell scriptnél, a preporcesszor ott is figyel A betöltéshez van egy script ami gondoskodik arról hogy nagyon hülyének kelljen lenni ahhoz hogy kizárjam magam, és az automatán töltött chaineket is rendesen húzza. Eszembe jutott egyetemi géptan tanárom elhíresült mondása, amit azután tett, hogy egy tipikus lejtőncsúszik alappéldát másfél óra kemény munkával megoldott: "Azért ha komoly statikai méretezést csinálnának, bízzák gépész szakemberre!"
Szoval igy nez ki most a tervezett ipchains konfig, tudom meg nem jo, de hol kellene javitani:
[konfig] -- GNU GPL: csak tiszta forrásból
Magosanyi Arpad wrote:
Én azt szoktam, hogy az rp_filteren kívül biztos ami biztos csinálok antispoof chaint is. Ezen kívül van egy zajredukáló chainem, amin a papagály protokollok logolás nélkül szûrõdnek ki (ezen kívül minden dropot logolok).
[...] Egeszen veletlenul nem publikus a configod - legalabb olyan szinten, hogy elkuldod maganban? Best regards, Andy
On Mon, Oct 15, 2001 at 09:11:00AM +0200, Toth Endre wrote:
Magosanyi Arpad wrote:
Én azt szoktam, hogy az rp_filteren kívül biztos ami biztos csinálok antispoof chaint is. Ezen kívül van egy zajredukáló chainem, amin a papagály protokollok logolás nélkül sz?r?dnek ki (ezen kívül minden dropot logolok).
[...]
Egeszen veletlenul nem publikus a configod - legalabb olyan szinten, hogy elkuldod maganban?
A getting_started.ps-ben van ipchains pelda, az szerintem hasonlo felepitesu mint amit Mag is hasznal. Erdemes megnezni. -- Imre GNU GPL: csak tiszta forrásból
participants (4)
-
Lazar Imre
-
Magosanyi Arpad
-
MG
-
Toth Endre