From: Serdar KÖYLÜ (serdarkoylu@fisek.com.tr)
Date: Tue 09 Jul 2002 - 12:12:07 EEST
Selamlar..
On Mon, 8 Jul 2002 23:51:18 +0300
AHMET PEHLİVAN <aplinux@dominant.com.tr> wrote:
>
> Cozum olarak DROP
> satirini su sekle getirebiliriz saniyorum:
> >
> > iptables -A INPUT -p tcp --syn -j DROP
> >
>
>
> Serdar bey oncelikle cevabınız icin tesekurler.
>
> Sizin ve cesitli arkadasların yazdıgı dokumanlardan inceliyerek basıt bir
> script olusturdum.
>
> 1- Guvenlik duvarı yeterlimi sizece ne gibi eksiklerim olabilir.
Yeterlilik, sistemdeki diger bilesenlere bagimli bir konu. Sistemin tum bilesenlerini bilmeden yeter/yetmez demek yanlis olur.
> 2- iptable ile kurallar koydugumda , localdaki bir makinadan telnet
> yapıyorum( hakkı olan ) bir sure bekledikten sonra login alıyorum. Hic
> kural yoksa hemen login geliyor. Nasıl hızlandıra bilirim.
Tipik hostname problemi. Eger alttaki kurallari kullaniyorsaniz, UDP/53 portundan yapilan DNS cagrilarini bloke etmissiniz. Bu nedenle makinenin hostname'ini cozemiyor. UDP connectionless oldugu icin bir hata mesajida verilmez.
> ( eth0 280 portla yonledirdigim localdaki unix serverda cgi programlar
> calısıyor. Ben localden telnet icin bekliyorsam , dısarıdan gelenlerde
> bekliyordur fikrine kapılmaktayım )
>
> Bu konularda fikrinizi ogrenebilirsem sevinirim.
>
>
>
> Redhat 7.3
> eth0 : internete bakıyor.
> eth1 : local ag
> Apache web server calisiyor
> sendmail calisiyor.
> squid
> eth0 280 portuna gelenler localdaki bir , makinaya yonleniyor.
>
> *******************
> echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
> echo 1 >/proc/sys/net/ipv4/tcp_syncookies
> echo 1 >/proc/sys/net/ipv4/conf/all/rp_filter
>
> /sbin/iptables -P INPUT ACCEPT
> /sbin/iptables -P OUTPUT ACCEPT
> /sbin/iptables -P FORWARD ACCEPT
>
> /sbin/iptables -F
> /sbin/iptables -F INPUT
> /sbin/iptables -F OUTPUT
> /sbin/iptables -F FORWARD
> /sbin/iptables -F -t mangle
> /sbin/iptables -X
> /sbin/iptables -F -t nat
>
> /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>
> /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -d !
> 192.168.0.200 -j REDIRECT --to-ports 3128
>
> /sbin/iptables -t nat -A PREROUTING -p tcp -d internet_ip --dport 280 -i
> eth0 -j DNAT --to 192.168.0.1:80
Mantikli bir yorum yapabilmek icin 192.168.0.200, internet_ip ve 192.168.0.1 makinelerinin ne oldugunu bilmek gerekiyor. Internet IP dediginiz IP adresinin 280. Portunda varsayilan olarak http-mgmt daemonlari bekler. Ama bunlar bildigim kadariyla cok fazla kullanilmaz. internet_ip ayni zamanda kullanmak istedginiz bir web servermi ? Oyle ise, 280. Port neden ? Ozel bir Intranet server filanmi calistiyorsunuz ? Kisacasi biraz daha bilgi verirseniz daha faydali olabiliriz gibime geliyor..
Bir agi ne kadar sadelestirir, boyle port/nat taklalarini ne kadar azaltirsaniz, hem idare etmeniz hem guvenligini saglamaniz o kadar kolay olur. Bu tur karmasik konfigurasyonlar olmadik kombinasyonlarda olmadik kapilarin acik kalmasina yol acar cogu zaman. Eger bir firewall ihtiyaciniz varsa, tecrube edilmis en iyi tercih, BAD/GOOD/DMZ cozumudur. Yani bir 3. ethernet takmak. Boylece serverlere erisimi, internete erisimi, yerel aga erisimi kolayca kurallara baglarsiniz. Belki bir HUB+ETH masrafi baslangicta fazla gorunebilir fakat, gercekte cok daha ucuza cikar.. Daha rahat uyursunuz..
> /sbin/iptables -A INPUT -p tcp -s 192.168.0.100 --dport 23 -j ACCEPT
Yerel agdan telnet'i kabul ediyorsunuz.
> /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
Binde bir yapilacak (genelde sadece zone transferi) DNS server baglantilarini kabul ediyorsunuz.
> /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
WebServere gelenleri kabul ediyorsunuz.
> /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
SMTP OK
> /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
POP3 OK
> /sbin/iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
SQUID OK
> /sbin/iptables -A INPUT -p tcp --syn -j DROP
Bize baglanti icin muracaat eden diger paketleri DROP Ediyoruz. Boylece bu protlarin disinda kimse bize baglanamaz. Fakat UDP gene yok ortalikta. UDP pek cok servis icin gerekli bir protokoldur. En basta DNS olmak uzere..
Saygi ve sevgiler..
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------