Gå til innhold

Den frie kafeen


Anbefalte innlegg

skal bruke iptables nå. men før jeg beveger meg inn på det helt lurer jeg på hva jeg bruker for å droppe alle bortsett fra de få jeg bruker..

kan jeg

 

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 00000-99999 -j DROP

iptables -A INPUT -i eth0 -p tcp -m udp --dport 00000-99999 -j DROP

og så accepte:

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT

5821137[/snapback]

 

Njaaa.. Helst ikke :p Kan kanskje være greit å se litt på Linuxguiden sin iptablesguide. Kan kanskje være greit å se på feks Firestarter visst det blir for komplisert, men det er egentlig ikke så vanskelig å sitte seg inn i.

 

Ett kjappt sammensatt iptables script som egentlig forklarer seg selv med at den åpner for de du sier den skal åpne for, mens resten er lukket:

#!/bin/bash

echo " _________________________________"
echo " ---------------------------------"
echo "   /\                             "  
echo "   \/     S T A R T E R           "
echo " ---------------------------------"
echo " ---------------------------------"
echo "         F I R E W A L L          "
echo " _________________________________"
echo " ---------------------------------" 

#flush eksisterende regler

iptables -F
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

#slett kjeder

iptables -X

#reset pakke tellere

iptables -t filter -Z
iptables -t nat -X
iptables -t mangle -X

#enable ip forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

#Regler

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 9900 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 113 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 43 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --dport 9900 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 1194 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 137:139 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 43 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT

#logg:
iptables -A INPUT -j LOG --log-prefix "Dropped input by default:" --log-level 6
iptables -A OUTPUT -j LOG --log-prefix "Dropped output by default:" --log-level 6
iptables -A FORWARD -j LOG --log-prefix "Dropped output by default:" --log-level 6

#dropping

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

Endret av Lassie
Lenke til kommentar
Videoannonse
Annonse

trenger som sagt ikke så vanskelige regel opplegg.. bare 5 porter som skal værra åpne.. men tenkte å spørre her bare for å være helt sikker før jeg stenger meg selv ute fra min egen server:P stress å logge på lokalt på den! hehe

Lenke til kommentar
trenger som sagt ikke så vanskelige regel opplegg.. bare 5 porter som skal værra åpne.. men tenkte å spørre her bare for å være helt sikker før jeg stenger meg selv ute fra min egen server:P stress å logge på lokalt på den! hehe

5821289[/snapback]

Hehe :p Been there, done that. Derfor lærte jeg meg å alltid huske:

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

slik at det ikke skjer igjen. kort fortalt når du er koblet til kaster den deg ikke ut selv om du dummer deg ut :p

Lenke til kommentar

Mens vi er inne på iptables, ser skriptet mitt greit ut?

#!/bin/bash

# Renser kjedene
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# Setter policy på kjedene
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# lo-grensesnittet
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT

# Spesielle regler (input)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 10.0.0.2 --dport 2288 -j ACCEPT
iptables -A INPUT -p tcp --dport 8888 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Spesielle regler (output)
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Port 2288 brukes av ssh, og port 80 og 8888 brukes av apache.

 

Noe jeg burde forandre slik at det blir sikrere?

Lenke til kommentar
trenger som sagt ikke så vanskelige regel opplegg.. bare 5 porter som skal værra åpne.. men tenkte å spørre her bare for å være helt sikker før jeg stenger meg selv ute fra min egen server:P stress å logge på lokalt på den! hehe

5821289[/snapback]

Hehe :p Been there, done that. Derfor lærte jeg meg å alltid huske:

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

slik at det ikke skjer igjen. kort fortalt når du er koblet til kaster den deg ikke ut selv om du dummer deg ut :p

5821341[/snapback]

 

Nah. Jeg pleier somregel å si "ipconfig eth0" og blunke dumt mot det brått døde skallet... Før.. Ojda... Dette... var... ssh det ja! Üps!

Lenke til kommentar

Ah! De prøvelser en stakkars distro-utvikler må møte i hverdagen...

CentOS in the News : It's L-i-n-u-x, that is an Operating System

Dette er historien om den gangen den onde Linux distoren, GentOS, hacket seg inn på maskinene til byen Tuttle i Oklahoma, USA.

 

Historien havnet også på The Register: Oklahoma city threatens to call FBI over 'renegade' Linux maker

Som også ble bedt om å stoppe: Oklahoma man asks Reg to turn off the internet

Lenke til kommentar

Synes OpenOffice gjør en slett jobb ved å ikke tenke på Slackware-baserte distroer når de utgir programvaren sin. At vi Slackware-brukere må ty til 3.parts pakker er for dårlig. Men det går an å prøve med rpm-pakkene. Det er godt mulig Slackware takler dem.

Lenke til kommentar
Synes OpenOffice gjør en slett jobb ved å ikke tenke på Slackware-baserte distroer når de utgir programvaren sin. At vi Slackware-brukere må ty til 3.parts pakker er for dårlig. Men det går an å prøve med rpm-pakkene. Det er godt mulig Slackware takler dem.

5835597[/snapback]

 

Bare dra en rpm2tgz. Fungerer ypperlig.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...