Slawek o 14:41, 23 kwi 2012

2012-04-23T14:41:27Z

Slawek: Utworzył nową stronę „Category:Bezpieczeństwo == Firewall - iptables == Z braku czasu na napisanie howto odnośnie iptables wklejam narazie regułki z opisami, które z powodzeniem m...”

2012-04-15T16:31:18Z

Utworzył nową stronę „Category:Bezpieczeństwo == Firewall - iptables == Z braku czasu na napisanie howto odnośnie iptables wklejam narazie regułki z opisami, które z powodzeniem m...”

Nowa strona

[[Category:Bezpieczeństwo]]
== Firewall - iptables ==
Z braku czasu na napisanie howto odnośnie iptables wklejam narazie regułki z opisami, które z powodzeniem mogą być wykorzystane w systemie linux, testowane na systemie fedora 13 z jądrem 2.6.x . Mam nadzieję, że komuś się przyda.

#!/bin/bash
#Zapora sieciowa iptables
echo "Ustawienia kernela..."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "Moduly jadra..."
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_irc
# Flush
echo "Flush..."
iptables --flush
iptables --delete-chain
#domyślna polityka
echo "Ustawiam domyslna polityke na DROP"
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#blokuje wybrane adresy
echo "Blokuje wybrane adresy ip"
echo "141.211.166.16 -> zablokowany"
echo "67.90.73.23 -> zablokowany"
iptables -A INPUT --protocol tcp -s 141.211.166.16 -j DROP
iptables -A INPUT --protocol udp -s 141.211.166.16 -j DROP
iptables -A INPUT --protocol tcp -s 67.90.73.23 -j DROP
iptables -A INPUT --protocol udp -s 67.90.73.23 -j DROP
# zezwalamy na nawiazane polaczenia
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#otwieram porty
echo "Otwieram porty..."
iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
echo "22 -> ssh otwarte"
iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT
echo "80 -> http otwarte"
iptables -A INPUT --protocol tcp --destination-port 443 -j ACCEPT
echo "443 -> https otwarte"
iptables -A INPUT --protocol tcp --destination-port 25 -j ACCEPT
echo "25 -> smtp otwarte"
iptables -A INPUT --protocol tcp --destination-port 465 -j ACCEPT
echo "465 -> smtps otwarte"
iptables -A INPUT --protocol tcp --destination-port 110 -j ACCEPT
echo "110 -> pop3 otwarte"
iptables -A INPUT --protocol tcp --destination-port 995 -j ACCEPT
echo "995 -> pop3s otwarte"
iptables -A INPUT --protocol tcp --destination-port 143 -j ACCEPT
echo "143 -> imap otwarte"
iptables -A INPUT --protocol tcp --destination-port 993 -j ACCEPT
echo "993 -> imaps otwarte"
iptables -A INPUT --protocol tcp --destination-port 8083 -j ACCEPT
echo "8083 -> przekierowany port na inny adres ip... otwarte"
#daje dostep do samby tylko mojej sieci lokalnej
echo "445 -> smb tylko dla sieci lokalnej otwarte"
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 445 -m state --state NEW -j ACCEPT
# Blokujemy nowe polaczenia bez ustawionej flagi SYN
echo "Blokujemy nowe polaczenia bez ustawionej flagi SYN"
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# sprawdzamy fragmenty pakietow
echo "sprawdzamy fragmenty pakietow"
iptables -A INPUT -f -j DROP
# blokada pakietow podobnych do prob ataku xmms
echo "blokada pakietow podobnych do prob ataku xmms"
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# blokujemy puste pakiety
echo "blokujemy puste pakiety"
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# blokujemy fragmenty pakietow i metode Xmas tree SYN,FIN i SYN,RST
echo "blokujemy fragmenty pakietow i metode Xmas tree SYN,FIN i SYN,RST"
iptables -A INPUT -p ip -f -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
#reguly zabezpieczajace przed Anti-spoofingiem
echo "reguly zabezpieczajace przed Anti-spoofingiem"
iptables -A INPUT -s 200.200.200.200 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -j DROP
iptables -A INPUT -s 0.0.0.0/8 -j DROP
iptables -A INPUT -s 10.0.0.0/8 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -s 224.0.0.0/3 -j DROP
#przekierowanie portów
echo "8083 -> przekierowuje port na adres ip 192.168.1.2 na port 8888"
iptables -t nat -I PREROUTING 1 --protocol tcp --destination-port 8083 -j DNAT --to-destination 192.168.1.2:8888
#forwarduje tylko wybrane adresy IP
iptables -t nat -A POSTROUTING -s 192.168.1.2 -d 0.0.0.0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.3 -d 0.0.0.0/0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

← poprzednia wersja		Wersja z 14:41, 23 kwi 2012
Linia 101:		Linia 101:
	iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT		iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
	iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT		iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
		+
		+	<br /><google1 style="4"></google1>

Firewall - Historia wersji

Slawek o 14:41, 23 kwi 2012

Slawek: Utworzył nową stronę „Category:Bezpieczeństwo == Firewall - iptables == Z braku czasu na napisanie howto odnośnie iptables wklejam narazie regułki z opisami, które z powodzeniem m...”