Konkrety Dot. Iptables'a

[Hardek]

Witam!

 

Mam sprawe dotyczaca iptables. A wiec konkrety. Mam fedora core 6 i siec eth0. Chcialbym aby przepuszczal mi firewall: gaim,evloution,bittorenta,firefox'a,tibie,f-prot,(_yum'a_ → yuma) ORT oraz najwazniejsze systemowe procesy bez ktorych sie nie obejde. Reszta zeby byla zablokowana. Wiem, pewnie powiecie czemu nie korzystam z programow graficznych. Korzystalem, ale z nimi jest wiecej klopotow niz pozytku. Bardzo prosze o konkretne reguly dla iptables oraz powiedzenie mi co mam napisac zeby wprowadzic je na stale. Bede bardzo wdzieczny za opdowiedzi oraz z gory dziekuje.

[@WalDo]

Wiem, pewnie powiecie czemu nie korzystam z programow graficznych. Korzystalem, ale z nimi jest wiecej klopotow niz pozytku.

Ja tak nie powiem, bo jak najbardziej zgadzam się z opinią, że wszelkie firestarery, shorewalle itp to źródło problemów.

 

Jeśli chodzi o sam temat, to niestety będziesz musiał popracować sam. Nikt nie poda Ci na talerzu gotowych regułek. Na ogół wszystko sprowadza się do otwarcia odpowiedniego portu lub zakresu portów dla pakietów wchodzących i/lub wychodzących (-j ACCEPT) albo odrzucenia niechcianych (-j DROP lub -j REJECT). Co "ciekawsze" pakiety można sobie zachowywać do późniejszej analizy (-j LOG)

Ja zaczynałem walkę z firewallem od tego artykułu http://zlobek.tcz.info/dzial.php3?dzial=28. Nie dokładnie tak działałem, ale zasady tworzenia reguł są dość dobrze wytłumaczone na przykładzie. Osobiście stosuję zasadę wpisywania reguł przez polecenie iptables <reguła> oraz zachowanie utworzonych reguł (kiedy już wiem, że działają tak jak chcę) poleceniem iptables-save > /etc/sysconfig/iptables. Oczywiście kopię pliku /etc/sysconfig/iptables przed rozpoczęciem zabawy zachowuję w co najmniej dwóch różnych miejscach

 

Zresztą jeśli sięgniesz do wyszukiwarki (patrz par.2 regulaminu forum), to znajdziesz sporo przykładów m.in. dot. interesujących Cię aplikacji.

 

[Edit]Aha, dla większości wymienionych przez Ciebie aplikacji wystarczy jedna reguła:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inna sprawa jest z bittorrentem - o tym też było na forum http://forum.fedora.pl/index.php?showtopic...d&pid=80644.

Do poprawnego działania systemu jest niezbędne także otwarcie ruchu na interfejsie lokalnym

iptables -A INPUT -i lo -j ACCEPT

No i żeby cały firewall miał jakiś sens to musisz zmienić domyślna politykę łańcucha INPUT z ACCEPT na DROP. OUTPUT i FORWARD mogą zostać od biedy na ACCEPT. Chociaż zapewne jak pouczysz się jakiś czas, to również te polityki zmienisz.

[Hardek]

Slyszalem o takim narzedziu do konfiguracji firewalla, ktore nazywa sie lokkit. Czy da sie go tak skonfigurowac aby dawal przyzwoite zabezpieczenie?

[@WalDo]

[...]nazywa sie lokkit. Czy da sie go tak skonfigurowac aby dawal przyzwoite zabezpieczenie?

IMHO nie. Możliwe, że się mylę, ale sądząc z opisu (http://www.redhat.com/docs/manuals/linux/RHL-8.0-Manual/custom-guide/s1-basic-firewall-gnomelokkit.html) to narzędzie daje zdecydowanie podstawowa ochronę (czy to nie jest to samo co widać w menu Gnome jako "Poziom bezpieczeństwa" czy jokś podobnie?). A jeśli uda Ci się skonfigurować to narzędzie tak, żeby zrobić przy jego pomocy dobrą ochronę, tzn. że nauczyłeś się wcześniej tworzenia firewall'a przy pomocy iptables

[Edit]No tak, uruchomiłem tego lokkita - to jest dokładnie ten sam trywialny konfigurator, który pokazuje się przy instalacji. IMHO najważniejsza jego wada to wspomniana domyślna polityka INPUT ustawiona na ACCEPT, czyli domyślnie przyjmowane są wszelkie wchodzące pakiety. Również "wrogie", mające na celu przemycić różnego rodzaju rootkity, spyware itp. Nie widzę powodu, żeby ułatwiać zadanie atakującemu Jeśli się nie obronię, to wolę mieć przynajmniej poczucie, że chociaż próbowałem