Vraag & Antwoord

OS Linux

Vraagje over configuratie van Firewall

1 antwoord
  • Dag allemaal, Recentelijk heb ik op mijn linux RH 7.3 iptables geconfigureerd wat nu werkt. Omdat ik eigenlijk toch wel een beetje een leek ben en nog maar net kom kijken heb ik van het internet een script geplukt met daarin een heleboel voorgedefinieerde dingen. Ik heb hier het een en ander naar mijn eigen wens aangepast en wat dingen toegevoegt zoals JMSN en LICQ wat allemaal goed draait nu. Ik zit hier met mijn systeem achter een hardware router waarin geen NAT setup is geconfigureerd. De box draait op dit moment nog wel in de DMZ maar daar wil ik 'm dus spoedig uit halen om ook van buitenaf (lees school en bij mijn ouders) te kunnen aanspreken. Dit aanspreken wil ik via SSH doen. Deamon heb ik geinstalleerd en die draait nu dan ook. Ik kan vanaf mijn localhost dan ook sucsevol inloggen op mezelf. Echter vanaf een andere computer in het netwerk wil dit niet lukken. Nu ben ik een hele tijd bezig geweest regels te becommentariseren in het script en ik heb de regels die het zaakje tegenhouden er uit weten te vissen. Nu is mijn vraag: Hoe veilig is het dat zonder deze regels het grote boze internet op ga??? (en wat is evt. een goed alternatief voor deze regels?) Het standaard commentaar van het script is mij dus niet al te duidelijk. Misschien dat mij daar ook mee geholpen kan worden. Alvast heel hartelijk dank aan allen die mij hiermee kunnen en willen helpen MVG, Ronnie dit zijn de betreffende regels: (met #! geven dus last) # Set up a default DROP policy for the built-in chains. # If we modify and re-run the script mid-session then (because we have a default DROP # policy), what happens is that there is a small time period when packets are denied until # the new rules are back in place. There is no period, however small, when packets we # don't want are allowed. #!! iptables -P INPUT DROP iptables -P FORWARD DROP #!! iptables -P OUTPUT DROP ........... ............ ## SSH # Allow ssh client outbound. SSH_HI_PORTS="513:1023" iptables -A OUTPUT -o $IFACE -p TCP --sport $SSH_HI_PORTS --dport 22 -j ACCEPT iptables -A INPUT -i $IFACE -p TCP -m state --state NEW,ESTABLISHED --sport 22 --dport $SSH_HI_PORTS -j ACCEPT # Allow clients from outside to see my ssh deamon iptables -A INPUT -i $IFACE -p TCP --sport $SSH_HI_PORTS --dport $SSH_PORT -s $MY_SSH_CLIENTS -d $EXTERNAL_IP -j ACCEPT iptables -A OUTPUT -o $IFACE -p TCP -m state --state NEW,ESTABLISHED --sport 22 --dport $SSH_HI_PORTS -j ACCEPT ............. ............. #einde van het script: ## LOGGING # You don't have to split up your logging like I do below, but I prefer to do it this way # because I can then grep for things in the logs more easily. One thing you probably want # to do is rate-limit the logging. I didn't do that here because it is probably best not too # when you first set things up ................. you actually really want to see everything going to # the logs to work out what isn't working and why. You cam implement logging with # "-m limit --limit 6/h --limit-burst 5" (or similar) before the -j LOG in each case. # # Any udp not already allowed is logged and then dropped. iptables -A INPUT -i $IFACE -p udp -j LOG --log-prefix "IPTABLES UDP-IN: " iptables -A INPUT -i $IFACE -p udp -j DROP iptables -A OUTPUT -o $IFACE -p udp -j LOG --log-prefix "IPTABLES UDP-OUT: " iptables -A OUTPUT -o $IFACE -p udp -j DROP # Any icmp not already allowed is logged and then dropped. iptables -A INPUT -i $IFACE -p icmp -j LOG --log-prefix "IPTABLES ICMP-IN: " iptables -A INPUT -i $IFACE -p icmp -j DROP iptables -A OUTPUT -o $IFACE -p icmp -j LOG --log-prefix "IPTABLES ICMP-OUT: " iptables -A OUTPUT -o $IFACE -p icmp -j DROP # Any tcp not already allowed is logged and then dropped. iptables -A INPUT -i $IFACE -p tcp -j LOG --log-prefix "IPTABLES TCP-IN: " #!! iptables -A INPUT -i $IFACE -p tcp -j DROP iptables -A OUTPUT -o $IFACE -p tcp -j LOG --log-prefix "IPTABLES TCP-OUT: " #!! iptables -A OUTPUT -o $IFACE -p tcp -j DROP # Anything else not already allowed is logged and then dropped. # It will be dropped by the default policy anyway ........ but let's be paranoid. iptables -A INPUT -i $IFACE -j LOG --log-prefix "IPTABLES PROTOCOL-X-IN: " #!! iptables -A INPUT -i $IFACE -j DROP iptables -A OUTPUT -o $IFACE -j LOG --log-prefix "IPTABLES PROTOCOL-X-OUT: " #!! iptables -A OUTPUT -o $IFACE -j DROP

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.