[ SlackList ] [ WkikiSlack ]




iptables -prośba o weryfikację i jedno pytanie dotyczące GIODO i ochrony danych osobowych

From: basia <bmakos_malpka_poczta.onet.pl>
Date: Mon Oct 04 2004 - 12:32:16 CEST

Witajcie
Mam zadania do wykonania:
1. odpowiedzieć szefowi na poniższe pytanie
"Czy komputer mający dostęp do serwera plików (i serwer plików )ale nie
mający dostępu do interneru (blokada na firewalu) mogą być traktowane
jako komputery połączone z siecią publiczną - siec jak
poniżej(informacja dotyczy ustawy o ochronie danych osobopwych i
zgłoszenia bazy do GIODO - www.giodo.gov.pl)?
Jest to instytucja w bazie której zbajdują się dane personalne i
informacje o dzieciach w domach dziecka i ich stanie prawnym oraz osób
które potencjalnie mogą być rodzicami adopcyjnymi.


mnie się wydaje, że nie są połączone.


2.
Mam za zadanie zabezpiczyć sieć w firmie
sieć jest taka:
internet---router(linux)---hub----serwer_plikĂłw
                             |
                             komputery w sieci wewn

i ma być tak:
kompy z lanu mają dostęp do serwera plików
pakiety z routera nie (jeśli pakiet jest z routera) dostaj się do
serwera
z netu wejścia na nie ma
wyjście z lanu dla wszystkich kompom (www poczta dns) poza serewerem
dwa będą miały zakaz wyjścia do internetu i dostęp tylko do serwera
plików (tam jest baza danych) ale tego narazie nie ma w regółkach

czy ten filtr mi to zapewni(działa na routerku)?

#ustawiamy zmienne
#ścieżka do iptables
IPT=/usr/sbin/iptables
#adres zewnętrzny
ADR_ZEW=55.80.123.98
#adres sieci wewn.
ADR_LAN=10.0.0.0/24
#adres serwera plik��w
ADR_SERW_SMB=10.0.0.192
#adres rozgłoszeniowy lan
ADR_BR_LAN=10.0.0.255
#interfejs na świat
DEV_NET=ppp0
#interfejs do lanu
DEV_LAN=eth0
#porty
TCP_NET=22,80,8080,25,110,53
TCP_LAN=443,139
UDP_LAN=137,138
UDP_NET=53
##
#koniec wprowadzania zmiennych
##
#Przekazywanie wartości do jądra
echo 1 > /proc/sys/net/ipv4/ip_forward #umoĚźliwia przekazywanie
pakiet��w
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all # ignoruje pakiety icmp
- nie odpowiada na ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # ignoruje
pakiety icmp wys�ane na adres rozg�oszeniowy
##
#
##
echo "Ładuje firewall"
#Czyszczenie �a�cuch��w
##
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
##
# Ustawiamy domyślną politykę
##
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
##
### Regółki
##
#Pozwalamy na ruch po lo
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
#
#
##forward
#OCHRONKA
#blokujemy fałszowanie adresu
$IPT -A FORWARD -s $ADR_LAN -i $DEV_NET -j DROP
#blokuje pakiety icmp idące na adres rozgłoszeniowy
#teoretycznie nie jest potrzebne bo wyłączyliśmy icmp w jajku
$IPT -A FORWARD -p icmp -d $ADR_BR_LAN -j DROP
#ograniczamy ilość pakietów do 1 na sek. - ochrona przed zalewem
pakietami z flagą SYN
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#utrudniamy skanowanie portów
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
1/s -j ACCEPT
#Przyjmuje pakiety pofragmentowane
$IPT -A FORWARD -f -j ACCEPT
#przyjmuje przychodzące pakiety TCP należące do połączeń już
ustanowionych
$IPT -A FORWARD -m state -p tcp --state ESTABLISHED,RELATED -j ACCEPT
#Przyjmuje tylko wychodzące z lan do net pakiety TCP na określonych
portach
$IPT -A FORWARD -p tcp -i $DEV_LAN -o $DEV_NET -m multiport --dport
$TCP_NET -j ACCEPT
#Przyjmuje wychodzące połączenia UDP z lan do net
$IPT -A FORWARD -p udp -i $DEV_LAN -o $DEV_NET --dport $UDP_NET -j ACCEPT
#Przyjmuje pakiety jako odpowiedź z portu 53 (DNS)
$IPT -A FORWARD -p udp -i $DEV_NET -o $DEV_LAN --sport $UDP_NET -j ACCEPT
#Akceptuje pakiety z lanu do serwera ale nie z adresu routera
$IPT -A FORWARD -p tcp -i $DEV_LAN -o $DEV_LAN -m multiport --dport
$TCP_LAN -
s ! 10.0.0.100 -d $ADR_SERW_SMB -j ACCEPT
#to powinno umożliwić odpowiedzi serwera smb
$IPT -A FORWARD -p udp -i $DEV_LAN -o $DEV_LAN -m multiport --sport
$UDP_LAN -s ! 10.0.0.100 -d $ADR_LAN -j ACCEPT
$IPT -A FORWARD -j DROP
##
#
###
#
#nat
$IPT -t nat -A POSTROUTING -o $DEV_NET -j MASQUERADE
#
###

Wielkie dzieki,
basia
ps. adresy ip to lewizna :)

Received on Tue Oct 05 00:09:23 2004

This archive was generated by hypermail 2.1.8. Wyprawa Shackleton 2014