Użytkownik basia napisał:
> Witajcie
>
> Mam za zadanie zabezpiczyć sieć w firmie
> sieć jest taka:
> internet---router(linux)---hub----serwer_plików
> |
> komputery w sieci wewn
>
> i ma być tak:
> kompy z lanu mają dostęp do serwera plików
> pakiet z routera nie można (jeśli pakiet jest z routera) dostać się do
> serwera
> z netu wejścia na nie ma
> wyjśnie z lanu dla wszystkich kompom (www poczta dns)
>
> czy ten filtr mi to zapewni(jest na routerku)?
>
> #ustawiamy zmienne
> #ścieżka do iptables
> IPT=/usr/sbin/iptables
> #adres zewnętrzny
> ADR_ZEW=55.80.123.98
> #adres sieci wewn.
> ADR_LAN=10.0.0.0/24
raczej 10.0.0.0/8
> #adres serwera plików
> ADR_SERW_SMB=10.0.0.192
> #adres rozgłoszeniowy lan
> ADR_BR_LAN=10.0.0.255
raczej 10.255.255.255
> #interfejs na świat
> DEV_NET=ppp0
> #interfejs do lanu
> DEV_LAN=eth0
> #porty
> TCP_NET=22,80,8080,25,110,53
> TCP_LAN=443,139
> UDP_LAN=137,138
> UDP_NET=53
> ##
> #koniec wprowadzania zmiennych
> ##
> #Przekazywanie wartości do jądra
> echo 1 > /proc/sys/net/ipv4/ip_forward #umożliwia przekazywanie pakietów
> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all # ignoruje pakiety icmp
> - nie odpowiada na ping
> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # ignoruje
> pakiety icmp wysłane na adres rozgłoszeniowy
> ##
> #Ładowanie modułów
> ##
> echo "Ładuje firewall"
> #Czyszczenie łańcuchów
> ##
> $IPT -F INPUT
> $IPT -F OUTPUT
> $IPT -F FORWARD
> ##
> # Ustawiamy domyślną politykę
> ##
> $IPT -P INPUT DROP
> $IPT -P OUTPUT DROP
> $IPT -P FORWARD DROP
> ##
> ### Regóły
> ##
> #Pozwalamy na ruch po lo
> $IPT -A INPUT -i lo -j ACCEPT
> $IPT -A OUTPUT -o lo -j ACCEPT
> #
> #
> ##forward
> #OCHRONKA
> #blokujemy fałszowanie adresu
> $IPT -A FORWARD -s $ADR_LAN -i $DEV_NET -j DROP
no to raczej masakrada nie zadziała dla lkientów w sieci wew :(
> #blokuje pakiety icmp idące na adres rozgłoszeniowy
> #teoretycznie nie jest potrzebne bo wyłączyliśmy icmp w jajku
> $IPT -A FORWARD -p icmp -d $ADR_BR_LAN -j DROP
> #ograniczamy ilość pakietów do 1 na sek. - ochrona przed zalewem
> pakietami z flagą SYN
po co ?
> $IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
> #utrudniamy skanowanie portów
> $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
> 1/s -j ACCEPT
jasne
> #Przyjmuje pakiety pofragmentowane
> $IPT -A FORWARD -f -j ACCEPT
> #przyjmuje przychodzące pakiety TCP należące do połączeń już ustanowionych
> $IPT -A FORWARD -m state -p tcp --state ESTABLISHED,RELATED -j ACCEPT
> #Przyjmuje tylko wychodzące z lan do net pakiety TCP na określonych portach
> $IPT -A FORWARD -p tcp -i $DEV_LAN -o $DEV_NET -m multiport --dport
> $TCP_NET -j ACCEPT
> #Przyjmuje wychodzące połączenia UDP z lan do net
> $IPT -A FORWARD -p udp -i $DEV_LAN -o $DEV_NET --dport $UDP_NET -j ACCEPT
> #Przyjmuje pakiety jako odpowiedź z portu 53 (DNS)
> $IPT -A FORWARD -p udp -i $DEV_NET -o $DEV_LAN --sport $UDP_NET -j ACCEPT
> #Akceptuje pakiety z lanu do serwera ale nie z adresu routera
> $IPT -A FORWARD -p tcp -i $DEV_LAN -o $DEV_LAN -m multiport --dport
> $TCP_LAN -s ! 10.0.0.100 -d $ADR_SERW_SMB -j ACCEPT
> #to powinno umożliwić odpowiedzi serwera smb
> $IPT -A FORWARD -p udp -i $DEV_LAN -o $DEV_LAN -m multiport --sport
> $UDP_LAN -s ! 10.0.0.100 -d $ADR_LAN -j ACCEPT
nie rozumiem a co ma do tego serwer SMB , pakiety mają lecieć w kółko ?
> $IPT -A FORWARD -j DROP
> ##
> #
> ###
> #
> #nat
> $IPT -t nat -A POSTROUTING -o $DEV_NET -j MASQUERADE
a nie lepiej SNAT jeśli znasz adres ip ze serwera ?

> #
> ###
>
> Wielkie dzieki,
> basia
> ps. adresy ip to lewizna :)
Pozdrawiam Konsar