spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

november 2018
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

Tűzfal beállítása 02

2007.03.05. hétfő 19:40 SPétör


Így kezdjünk: gondoljuk át, hogy mit is akarunk.

Én egy egyedülálló géphez akarok tűzfal szabályt készíteni. A gép nem csatlakozik belső hálóhoz, tehát egy szokványos otthoni PC, amivel az ember dolgozik, játszik, de nem mellékesen internetezik.

Indulásnak (mert ugye nem vagyok nagy szakértő) vettem egy kész szkriptet, amelyet saját igény szerint átírtam.

A lelőhely. Időközben törölték az oldalt!

Ezt a módszert minden kezdőnek javaslom, kiegészítve azzal, hogy minden létező információt olvassunk el az iptables témáról.

Kezdjük a szokásossal: man iptables
 www.linuxguruz.com/iptables/howto/maniptables.html

Vagy ezt is javaslom:
iptables-tutorial.frozentux.net/other/iptables.html

Ha nem megy az angol, akkor itt van egy kis segítség magyarul:
www.szabilinux.hu/iptables/chapter7.html

A továbbiakban részletesen leírom, hogy hogyan készítettem el a tűzfal szkriptemet.

Az én tűzfal szkriptem:
#!/bin/sh
## otthoni tűzfal, egygépes rendszerre
 
## megkeressük az iptables -t
IPTABLES=`which iptables`
## megadjuk a modulkönyvtárat:
MODKT=/lib/modules/`uname -r`/kernel/net/ipv4/netfilter
## megkeressük a modprobe parancsot
MODPROBE=`which modprobe`
## tegyük fel, hogy ez a címünk.
IFACE=172.16.9.200

## először törlünk minden szabályt.
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z

## felállítjuk az alap policyt.
## mindent tiltunk, amit külön nem engedélyezünk.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

## megnézzük vannak-e modulok, amiket betöltünk.
## az ftp követő modul, betölti majd a többi modult.
if [ -f $MODKT/ip_conntrack_ftp.ko ]
then MOD=ip_conntrack_ftp ;
$MODPROBE $MOD
fi

## figyeljük a syn sütiket
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

## bekapcsoljuk a forráscímhitelesítést.
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

## INPUT szabályok.
## loopback -en engedélyezzük a forgalmat.
$IPTABLES -A INPUT -i lo -j ACCEPT

## engedélyezzük befele, ami tőlünk származik.
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## figyeljük, hogy a tcp kapcsolatok, tényleg a syn bittel kezdődjenek.
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

## kintről csak ssh hozzáférést akarunk.
## $IPTABLES -A INPUT -p tcp --dport ssh -j ACCEPT
## ez nekem nem kell, ezért kikommenteztem.

## igaz , hogy a forráscímhitelesítés be van kapcsolva,
## de azért biztosra megyünk. A hamis IP címeket kiszűrjük.
$IPTABLES -A INPUT -i IFACE -s 192.168.0.0/16 -j REJECT

$IPTABLES -A INPUT -i IFACE -s 172.16.0.0/12 -j REJECT

$IPTABLES -A INPUT -i IFACE -s 10.0.0.0/8 -j REJECT

## ami jönne, azt loggoljuk:
$IPTABLES -A INPUT -j LOG --log-prefix "nem kellene bejonni"

## utána eldobjuk. Igaz, hogy az alap szabály drop, de azért biztosra megyünk:
$IPTABLES -A INPUT -j DROP

## OUTPUT szabályok.
## loopback -en engedélyezzük a forgalmat.
$IPTABLES -A OUTPUT -o lo -j ACCEPT

## jóváhagyott kapcsolatok engedélyezése.
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## a DNS -re szükség van.
$IPTABLES -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

## http mehet.
$IPTABLES -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

## https mehet
$IPTABLES -A OUTPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

## ssh mehet.
## $IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
## ez nekem nem kell, ezért kikommenteztem.

## ftp mehet
$IPTABLES -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

## Ha nem csak webes felületen szeretnénk levelezni.
$IPTABLES -A OUTPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT

##kifele menő "ping" -re szükség lehet.
$IPTABLES -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-request

Figyelem!
Az eredeti szkriptben több helyen elírás van (ezeket itt már javítottam).

Ezt a szkriptet my_firewall (vagy amilyen néven akarod - persze akkor a xxx.service file-ban is arra kell hivatkozni) néven el kell menteni az /etc/init.d/ könyvtárba és futtathatóvá kell tenni.
root:~# cd /etc/init.d/
chmod 700 my_firewall
Én minden jogot csak a root-nak adtam meg a "Csoport" és az "A többiek" semmilyen jogosultságot sem kaptak!

Ez még önmagában nem elég, hiszen így induláskor még nem fog lefutni a tűzfal szkript.

A tűzfal automatikus indítása a számítógép elindításakor


Mivel ezt az iptables utasítást a gépünk nem fogja megjegyezni, ezért külön gondoskodnunk kell róla, hogy minden rendszerindításkor lefusson egy script ami ezeket az utasításokat tartalmazza. Ezt úgy tehetjük meg, hogy a /etc/runlevel.d/default könyvtárba beteszünk egy my_firewall.service nevű file-t a következő tartalommal (a kommentes részt törölni!).
Summary=Firewall
## A szolgáltatás leírása angolul.
Summary[hu]=Tűzfal
## A szolgáltatás leírása magyarul.
Description=Firewall by iptables
## A szolgáltatás leírása angolul (részletes).
Description[hu]=Tűzfal iptables-szel
## A szolgáltatás leírása magyarul (részletes).
Script=/etc/init.d/my_firewall
## A szkriptünk helye.
SupportsReload=no
## Nem támogatjuk a reload-ot.
Runlevels=2345
## A 2-5 futási szinteken fusson a tűzfal.
Sequence=99
##99-es prioritással.
A /etc/runlevel.d/custom könyvtárba szintén beteszünk egy my_firewall.service nevű file-t, ami üres.


Az UHU Vezérlőpult / Szolgáltatásoknál alapértelmezettnek beállítani.

Ha mindent jól csináltunk, akkor következő rendszerindításkor a szkriptünk automatikusan le fog futni beállítva ezzel a tűzfalat.

Nézzük meg:
root:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
REJECT     all  --  192.168.0.0/16       anywhere            reject-with icmp-port-unreachable
REJECT     all  --  172.16.0.0/12        anywhere            reject-with icmp-port-unreachable
REJECT     all  --  10.0.0.0/8           anywhere            reject-with icmp-port-unreachable
LOG        all  --  anywhere             anywhere            LOG level warning prefix `nem kellene bejonni'
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3 state NEW,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
root:~#
Még nem ellenőriztem le a működését, de a hétvégén egy "szűz" laptopon kipróbálom. A tapasztalatokat majd természetesen egy új bejegyzésben rögzítem.

A következő lépés ennek a tűzfal-szabálynak a finomítása lesz.

SP

15 komment

Címkék: biztonság tűzfal uhu linux iptables

A bejegyzés trackback címe:

https://spuhulinux.blog.hu/api/trackback/id/tr4543286

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mavo · http://polmavo.blog.hu 2007.03.10. 17:03:50

Pár hozzáfűzés:

1. Teljesen felesleges a modulokkal borkózni, a netfiltert értelmes ember _nem_ modulba fordítja, mert a tűzfal miatt _biztos_, hogy használja. :-)

2. Én az OUTPUT láncot alapból az ACCESS láncra irányítom, felesleges a para, a jó tűzfalon a féreg nem jön be, ezért nem fog tudni kimenni. A trójaik ellen meg védekezzen az ember megfelelő segédeszközzel. :-)

3. Ebből következően semmi szükség külön a portok egyenkénti kiengedésére.

4. a hamis címek tiltólistája karcsú, paranoidoknak az alábbiak még kellenek:

iptables -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "invalid source IP "
iptables -A INPUT -s 255.0.0.0/8 -j DROP
iptables -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "invalid source IP "
iptables -A INPUT -s 0.0.0.0/8 -j DROP

5. paranoid módban a bejövő pinget tilcsa az ember, egy másik kommentbe beírtam, hogyan.

SPétör 2007.03.10. 18:14:56

..visszafelé olvasom a kommenteket... beindult a "mavo lavina"! :-)
Hú, egy hétre való anyagot adtál. Több helyen már nem fogom, de itt még utoljára: köszönöm a segítségedet! (a továbbiakban meg vedd ezt alapbeállításnak!)

SP

mavo · http://polmavo.blog.hu 2007.03.10. 18:29:51

Az 1-es ponthoz apró kiegészítés: ha nem te magad fordítottad a kernelt, nem tudhatod, hogy modulba van-e fordítva a netfilter.

Amúgy egyszerű az ellenpróba: kikommentezed a modulokat behúzó sorokat, lefutatod a scriptet, és ha úgy is oké, akkor maradhat úgy.

PS: ha van kedved, beszélhetünk a kernelfordításról is. :-)

mavo · http://polmavo.blog.hu 2007.03.10. 18:34:19

A 2-es ponthoz:

Nem baj, ha néha bejön valami vacak, ami kifelé marháskodik valamit, abból is tanul az ember, hogy

a, észre kell venni,
b, hatástalanítani és eltávolítani meg pláne.

Ilyen célra pedig az otthoni, nem LAN-on csücsülő, nem masqueradingelő, nem proxyzó, más PCnek semmit sem szolgáltató PC szinte ideális. Ha van up-to-date backup, akkor bejöhet bármi, legfeljebb újra kell húznod, de hogy egy életre megjegyzed, mi történt, az biztos, és ez később még jól jöhet.

SPétör 2007.03.10. 19:03:05

"PS: ha van kedved, beszélhetünk a kernelfordításról is. :-)"
Juj, ehhez még kell egy kis idő, de van egy feladat listám, azon rajta van.
Szóval most kinyomtatom a szkriptemet (mert úgy joban látom, hozzáolvasom amit írtál, azután megnézem mire megyek. Ha kész vagyok (egy kis időbe telik), akkor felteszem az újabb változatot.

mavo · http://polmavo.blog.hu 2007.03.10. 19:10:43

„van egy feladat listám, azon rajta van”

Szóval készülni teccett? :-)

Otthonra, hobbiból amúgy nem olyan hű de fontos a kernelfordítás, az apt-szerű cuccok modulba fordítják a patcheket és aztán behúzzák, ha kell, de az igazi linux felhasználás alfája a kernelfordítás, hogy legalább egy kicsit lásd, mi folyik a fekete dobozban. :-D

mavo · http://polmavo.blog.hu 2007.03.10. 19:28:51

„A /etc/runlevel.d/custom könyvtárba szintén beteszünk egy my_firewall.service nevű file-t, ami üres.”

Ezen tipródom egy ideje, nem symlinkről van szó?

ln -s /etc/runlevel.d/default/mittommi /etc/runlevel.d/custom

Szólj, ha tévedek ...

SPétör 2007.03.10. 19:38:55

Na, most megfogtál. Mondtam, hogy nem vagyok túl jó a témában.
Az üres .service fájlt több helyen is olvastam és arra gondoltam (bár nem ellenőriztem le), hogy valamit, ami a működéséhez szükséges, menet közben beleír. De most megnéztem, üres.
Nem írták, hogy ez egy symlink lenne. Akkor most meg kéne fejteni, hogy ez mire való... már megyek is a fórumokra.
SP

SPétör 2007.03.10. 19:45:29

Bocs' ez meg az előzőre:
"Szóval készülni teccett? :-)

Otthonra, hobbiból amúgy nem olyan hű de fontos a kernelfordítás, az apt-szerű cuccok modulba fordítják a patcheket és aztán behúzzák, ha kell, de az igazi linux felhasználás alfája a kernelfordítás, hogy legalább egy kicsit lásd, mi folyik a fekete dobozban. :-D"

Persze, hogy készültem.
De ha már itt tartunk, az apt-get-nél írtam, hogy a kernel is frissült. Látszólag, mert ha leellenőrzom (uname -r), akkor még mindig 2.6.17.6-10. ehelyett: 2.6.17.6-16.1

SPétör 2007.03.10. 19:46:49

Vagy az a vége, csak az UHU-nak valami frissülése?
Annyi mindennek kell utána járnom, hogy alig győzöm. :-)

mavo · http://polmavo.blog.hu 2007.03.11. 09:07:10

Ez valami átverés lesz, a kernel verziószámok (jelenleg) 2.6.x.y alakúak, ez a szabvány.

SPétör 2007.03.11. 17:10:42

Kivonat az apt-get upgrade részből:
Letöltés:2 ftp://ftp.uhulinux.hu ./ kernel 2.6.17.6-16.1 [18,4MB]

Na most, amit uname -r-re kiíír, az meg 2.6.17.6-10

Megnéztem az UHU csomagok helyét ott van ilyen csomag "kernel_2.6.17.6-16.1_i386.uhu".
Úgy tűnik ez UHU kernel csomag.
De miért nem frissült az upgrade után?

mavo · http://polmavo.blog.hu 2007.03.12. 15:16:06

Utána fogok nézni, hova fordul a kernel-verziószám, de ez tuti, hogy csak valami patch csak, és valszeg csak modulok, mert egy kernelforrás mára már bz2.tar-os formátumban sem kisebb 40 MB-nál.

Kérdés: mennyi idő volt a csomag telepítése, és újra kellett-e indítani a gépet utána.

SPétör 2007.03.12. 18:38:02

Igazad lehet, ez fel sem tűnt nekem. A jelenlegi stabil kernel (2.6.20.2) 41,8 MB.
Ki is veszem ezt a (buta) megjegyzést a postból.
SP

mavo · http://polmavo.blog.hu 2007.03.17. 20:21:17

Én is utánanéztem, újra kell indítani (buherátorok ehelyett insmodolnak keményen), de ettől ez még csak kvázi új kernel. :-)

Ne törölj semit, nem éri meg. ;-)