Brannmur med iptables på debian

[ti-guru]

Hei,

 

Dette er en repost fra Data/Programvare/sikkerhet-forumet da posten kanskje ikke helt traff riktig forum.

 

Jeg har en raspberry pi med debian 8.0 (jessie) koblet til nett via wifi, der jeg har satt opp en relativt grunnleggende brannmur med iptables og fwknop. Fwknop åpner dynamisk porter (kun til den ip'en som sendte godkjent SPA) til SSH og OpenVPN i iptables, hvor brukeren logger seg på disse tjenestene med 4096-bit nøkler.

 

Jeg hadde håpet på en tilbakemelding herfra om det er endringer eller forbedringer som kan gjøres i brannmuren:

XXXX@YYYY:~ $ sudo iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N FWKNOP_INPUT
-A INPUT -j FWKNOP_INPUT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p udp -m udp --dport 1194 -j DROP
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "INPUT LOG: "
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -i tun0 -o wlan0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "FORWARD LOG: "
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "OUTPUT LOG: "

Jeg har gjort diverse nmap scans på den eksterne ip'en min og får der opp at port 22 og 1194 er henholdsvis filtered og open|filtered. Så har inntrykk av at brannmuren gjør jobben. Stemmer dette?

[ti-guru]

Noen?

[arne22]

Det kunne kanskje være en ide å begynne med en beskrivelse av nettverket og hva firewallen skal gjøre. Hvor kjører brannmuren. På en gateway med 2 porter? Skal dette være en server firewall eller en gateway firewall?

[ti-guru]

Det kunne kanskje være en ide å begynne med en beskrivelse av nettverket og hva firewallen skal gjøre. Hvor kjører brannmuren. På en gateway med 2 porter? Skal dette være en server firewall eller en gateway firewall?

Takk for innspill, skal svare så godt jeg kan. Gi lyd ved mangler eller uklarheter.

 

Vanlig hjemmenettverk med en wifi ruter som gateway der rpi er en klient i dette nettverket. Brannmur skal være server brannmur. Hensikten med brannmuren er å skjule alle tjenestene rpi kjører for omverdenen uansett hvor utspekulerte søkene mot ipen måtte være, og bare åpne opp når fwknop får en korrekt spa pakke.

 

Edit: ruter videresender kun port 22 og 1194 til rpi foreløpig. Har ikke åpnet for videresending av 80 da jeg ikke kjører noen tjeneste på denne porten perioden dag. Har planer etterhvert om en enkel side som kjører med flask (Python)

Endret 28. september 2016 av ti-guru

[arne22]

Hva er meningen med dette og hvilken funksjon skal ivaretas?

 

-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -i tun0 -o wlan0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "FORWARD LOG: "

[ti-guru]

Hva er meningen med dette og hvilken funksjon skal ivaretas?

 

-A FORWARD -i tun0 -j ACCEPT

-A FORWARD -s 10.8.0.0/24 -i tun0 -o wlan0 -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "FORWARD LOG: "

Måtte til for å få openvpn til å fungere. Hadde i utgangspunktet kun FORWARD DROP, men da fungerte ikke vpn. Ordnet seg med reglene over. Mulig det går an å skrelle bort noen av reglene? Hvordan ser øvrige regler ut mtp skjuling av tjenester? Endret 1. oktober 2016 av ti-guru