spuhulinux.blog.hu

Az én UHU-Linux "tudástáram". Ennyi és nem több... Ha kevés, vagy valami nem jó, ígérem kijavítom! Mostanában az alaptéma kiegészül a Wordpress boncolgatásával is. Meg a CMS, ugyebár. Remélem nem baj? :-)

Non-Hungarian Speakers / Readers

Naptár

november 2018
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30

Utolsó kommentek

  • Károvics János: Üdv mindenkinek UHU3-at használok, felraktam hozzá egy sype-t. 4.3. Magyar nyelvre nem lehet be ... (2016.02.16. 20:14) UHU felhasználók levelező listája (kezdő)
  • bilolyogus: apt-get install kernel-headers-$(uname -r) (2012.05.29. 16:28) VMware Tools installálás > UHU-Linux (Guest)
  • SPétör: Windows-on nem csináltam, de ez rendben volt? --> " Ajánlom, h olvasd el az infót amit ekkor lá... (2010.08.09. 15:42) Login
  • devil_sasa: szia. Köszi, hogy segítesz... a te írásaid között találtam egy pendrive-ról indítható uhu-linux 2.... (2010.08.09. 14:24) Login
  • SPétör: Szia! Nem figyelem, de kapok figyelmeztetést... Már nem uhuzok, de ha gondolod, mondjad hátha tud... (2010.08.08. 21:13) Login
  • devil_sasa: Szia SPétör! nem tudom ,még figyeled-e ezt a blogot, ha igen lenne egy két kérdésem, ha megtisztel... (2010.08.08. 13:35) Login
  • jocosd: iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT modp... (2010.07.28. 22:31) FTP és iptables karambol
  • MezoArt: Sziasztok! Segítség! Elegem van a Visztából!!! Komolyan elgondolkodtam, hogy mivel lehet leváltani... (2010.05.18. 18:00) Üzenőfal
  • Alfonz64: Nekem így kér root jogot. az asztalon lévő krusader ikonon jobb klikk/tulajdonságok töröld ki a p... (2010.04.03. 19:57) Krusader root jogokkal - megoldás(?)!
  • accipiter: Egy kis segítség: gameworld.blog.hu/2009/09/16/mobiltulajdonosok_itt_az_opera_mini_5_betaja#commen... (2009.09.25. 14:35) PDA vs. linux
  • Utolsó 20

Keresés

Google

Címkék

2.1 (4) ajánló (1) aktuális (1) alltray (1) alt tab (1) analízis (1) analog (1) apache (1) apt (1) aptana (1) apt get (2) asus (1) ati driver (1) basket note pads (2) beállítások (1) bérlés (1) biztonság (17) bleezer (1) blog (16) bluefish (1) böngésző (2) buli (1) bulvár (1) chmod (2) cms (5) cmsmadesimple (2) copy paste (2) creative commons (1) család (1) csomagok kezelése (1) css (2) custom (1) daemontools (2) desktop (4) driver (1) dual homed (1) dv1394 (1) e107 (2) élet (1) életérzés (1) életképek (1) én (1) english (1) etherape (1) exkluzív (1) exploit (1) extension (1) fbrun (1) feladatlista (1) firefox (5) fluxbox (12) folyamatok leállítása (2) fórum (2) freeweb (2) frekvencia (1) ftp (5) fwanalog (5) gkrellm (1) gnome (3) goldenblog (1) google (2) gtk (1) gui (1) gyorsítás (1) hálózat (1) hardware (1) hdd1 (1) htop (1) humor (1) ies4linux (1) ikon (1) információ (3) ingatlan (1) initd (1) inkscape (4) installálás (1) internet explorer (3) ip (1) iptables (27) ip cím (1) iroda (1) java (1) jogok (1) kecskemét (1) képernyő felbontás (2) kernel (3) kiadó (1) kill (2) kimili flash embed (1) kjots (1) klippek (1) konfiguráció (1) krusader (3) linkek (1) linux (1) localhost (2) log (7) login (1) lprm (1) magyarítás (1) média (1) menü (3) messages (1) mindennap (1) monitor (2) mount (4) music (1) mysql (9) napi music (1) napi zene (1) navigator (1) netikett (1) netscape (1) network manager (2) notebook (3) numlock (3) numlockx (2) off (1) olcsó (1) openbox (2) openoffice (2) opera (6) operációs rendszer (1) ötletek (1) partícionálás (2) pc (1) pda (3) php (1) phpmyadmin (2) picasa web album (1) pidgin (2) plugin (6) pocket informant (2) probléma (4) processzor (2) proxy (1) pytube (1) qtparted (1) ram (2) reboot (1) recursive (1) resolution (1) rím (1) rímek (1) root (1) router (1) rtfm (1) runleveld (2) sawmill (1) seamonkey (2) shared folders (4) shutdown (1) skype (3) spuhuflux (4) spuhulinux (6) statisztika (10) sudo (5) swap (1) swiftweasel (1) szkript (1) szolgáltatások (1) szövegelés (44) születésnap (1) tab (1) tango (1) tapasztalatok (1) telepítés (3) tinymce (2) top (2) truecrypt (3) tűzfal (16) uhu (1) uhu linux (31) usb (1) user (1) üzlet (1) vészhelyzet (1) vezérlőpult (1) videókártya (1) virtual disk manager (1) vmmon (2) vmnet8 (2) vmware (7) vmware server (1) vmware toolbox (1) vmware tools (5) vmware workstation (18) wallpaper (1) webfejlesztés (1) webszerkesztés (3) web developer (1) wep (1) wifi radar (3) wiki (1) wireless (3) wordpress (21) wordpress theme (6) wpa (1) wysiwyg (1) xampp (1) xhost (2) xrandr (1) xterm (2) zene (1) Címkefelhő

Egyéb linkek

Saját tűzfal lépésről lépésre 02

2007.03.23. péntek 15:13 SPétör


Először is tegyük helyre az előző bejegyzésben tisztázottakat (a szkript eleje):
#!/bin/sh
# Home standalone gép.

# A lánc kiürítése.
iptables -F

# Alap policy

# Mindent tiltunk, amit külön nem engedélyezünk.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Csak még egy kérdés: IPTABLES vagy iptables? Azt olvastam, hogy az IPTABLES az alap és ha plusz szabályokat definiálunk akkor kell használni az iptables változatot, hogy ne keveredjen össze.
Több helyen láttam azt is, hogy a sort $ vagy # jellel kezdik. Ennek mi az értelme (azon kívül, hogy $=user)? Egyáltalán kell ez? Már megint kapkodtam, a # = komment. Phű de buta! :-)

"Ha van már létező szabály a gépen, amit nem te csináltál, akkor egyszer jöhet parancssorból:
$iptables -X
$iptables -Z
De mivel nincs (legalább is ezt feltételezük kiindulásnak), ez is felesleges. :-)

És akkor, ahogy ígértem:

INPUT


Első lépésként tegyük ide a minimál verziót elemenként, azután lehet ezt még cizellálni.
# INPUT szabályok.
# loopback engedélyezése.
iptables -A INPUT -i lo -j ACCEPT
# Engedélyezzük befelé, ami tőlünk származik.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Invalid sync bites csomagok kiszórása.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# ssh engedélyezése - majd ha kell. Most még nekem nem kell.
# iptables -A INPUT -p tcp --dport ssh -j ACCEPT

# A hamis IP címeket kiszűrjük.

iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j
DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
Lehet, hogy az -i eth0 rész felesleges, hiszen egy (1) hálózati kártya esetén mi is lehetne?

A loggolás egy külön kérdés. Mit érdemes logolni (ezzel csatlakozom a következő kiegészítéshez is)?
Az eredeti mintában ezt a három sort ez követte:

# ami jönne, azt loggoljuk:
$ IPTABLES -A INPUT -j LOG --log-prefix "nem kellene bejonni"
Ha jól értem a logikáját a dolognak (és persze alapul véve a következő kiegészítést is), ha előbb eldobom utána nincs mit logolni. Tehát ez inkább az aktuális sor elé kellene annak megfelelően átírva.
# Kiegészítés paranoidoknak (by mavo)
iptables -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "invalid source IP "
iptables -A INPUT -s 255.0.0.0/8 -j DROP
iptables -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "invalid source IP "
iptables -A INPUT -s 0.0.0.0/8 -j DROP
# Pingelés letiltása
iptables -A INPUT -s 192.168.1.0/24 -p icmp -j DROP
iptables -A INPUT -i eth0 -p icmp -j DROP
Két változat ugyanarra, már megint. Ha jól értem az első a forrás oldaláról vizsgálja a pinget, a másik pedig az interface felől (?)

# iptables -h ide vonatkozó része:

Options:
--source      -s [!] address[/mask]
                                source specification
--in-interface -i [!] input name[+]
                                network interface name ([+] for wildcard)
És a végére még ez a sor volt bebiggyesztve:
# Igaz, hogy az alap szabály drop, de azért biztosra megyünk:
IPTABLES -A INPUT -j DROP
Úgy érzem, hogy ez túlbiztosítás, hiszen az elején már gondoskodtunk róla:
iptables -P INPUT DROPElső nekifutásra ennyi.

SP


2 komment

Címkék: biztonság tűzfal iptables

A bejegyzés trackback címe:

https://spuhulinux.blog.hu/api/trackback/id/tr4049860

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mavo · http://polmavo.blog.hu 2007.03.26. 07:49:41

Na, ez több seből vérzik. :-)

1. Csak az iptables a jó. És vigyázat, a Linux shell case sensitive!
a, a $iptables egy script változó, a júzerhez semmi köze. Ne keverjük a júzer prompttal!
b, az IPTABLES meg valószínűleg $IPTABLES-nek született, és akkor lásd elébb.
c, a $ IPTABLES, így, szóközzel elválasztva, ennek egy még érdekesebb verziója, nekem ez tetszett a legjobban. :-)

2. A loggolás kényes téma, egyelőre hagyjuk. Előlegben annyi, ha minden szart loggol az ember, akkor

a, lassulhat a kapcsolata, mert amíg loggol, addig kevesebb az ideje másra.
b, be fog telni a log partíció és meghal a Linux, de legalábbis a tűzfal, meg még a mi loggolni szeretne.

3. Ping tiltás: interfészre jó lesz.

4. Érdemes tutira beengedni, ami kiment:

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

5. Az interfésze nem teljesen felesleges, ha később bővül a cucc, és lesz eth1, akkor eggyel kevesebb mók, eggyel kevesebb hibaforrás.

De alakul. :-)

SPétör 2007.03.26. 14:40:56

Persze, hogy több sebből vérzik... :-)
1. akkor maradok az iptables-nél
Megj.: azért az elgondolkodtató, hogy a neten ezernyi példa, javaslat található állítólagos hozzértőktől, mindenféle "varázslattal" megspékelve. Ezért bolondul meg a magamfajta kezdő. Mindenki ír ész nélkül.
2. loggolás: én is így gondoltam. Majd később...
3. Ping:
iptables -A INPUT -i eth0 -p icmp -j DROP
Akkor ez marad.
4. iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Elfogadva. :-)
5. OK, akkor a lehetőséget egy későbbi interfészre megtartjuk.

+1. Jól értem, hogy ahol lehet, használjuk az interészt? Pl. így?
iptables -A INPUT -i eth0 -s 255.0.0.0/8 -j DROP
Ez az egyik általad javasolt sor. Lehet ezt is kiegészíteni az etho-al?

Összefoglalva:
Első nekifutásra egy lehető legegyszerűbb, ugyanakkor minden lehetséges problémára felkészítet tűzfalat szeretnék. Ez ugyan ellentmondás, de alapvetően arra gondolok, hogy amit lehet egyszerűen írni, azt úgy kell és nem kell cizellálni, hogy attól olyan csilli-villi kinézete legyen. :-)
SP

Ui.: mindjárt összefoglalom egy új bejegyzésben és meglátjuk, hogy jó-e?