[F18] Firewalld - Jak Zmienić Domyślną Regułę Łańcucha?

[Krystian Kiermasz]

Czy jest jakiś sposób aby zobaczyć jakie reguły są ustawione dla firewalld? Bo widzę tylko tą graficzną nakładkę, jednak z niej nie wynika czy blokuje on ruch przychodzący czy nie. A mnie zależy aby INPUT był DROP a nie wiem jak to sprawdzić.

[Mentat]

Powinieneś móc normalnie podejrzeć reguły przez

iptables -S

[Krystian Kiermasz]

Faktycznie widzę. Już sobie pozmieniałem input oraz forward na drop. Dzięki wielkie. Myślałem że jak wprowadzili Firewalld to już iptables nie działa i nie sprawdzałem tego nawet.

[Mentat]

Firewalld jest nakładką na iptables, dlatego można normalnie operować jego komendą.
Teraz sprawdź czy po restarcie nadal będziesz miał tak ustawione. Pewnie przywróci stare reguły.
Pomyśl czy Firewalld daje Ci cokolwiek, bo jak nie to wywal i wróć do czystego iptables (http://forum.fedora.pl/topic/26204-firewalld/#entry163773).

[@WalDo]

A jakie są różnice między firewalld a iptables to krótko i zwięźle opisane → tutaj

[Krystian Kiermasz]

Przeglądałem temat już wcześniej odnośnie wyłączenia firewalld i powrotu do czystego iptables. Jednak ogólnie firewalld mi nie przeszkadza - i tak ustawia się raz a dobrze, i po prostu ma działać. Fajne są też te strefy jeżeli o laptopa chodzi. Największy minus to własnie ustawienie input i forward na drop. A czystego iptables nie wiem czy by mi się udało od podstaw skonfigurować/napisać. 

[Krystian Kiermasz]

Za radą Mentata wyłączyłem firewalld i uruchomiłem iptables. 

Stworzyłem plik w /etc/sysconfig/iptables, gdzie mam skonfigurowane tak:

# Generated by iptables-save v1.4.19.1 on Wed Dec 11 15:19:25 2013

*filter

:INPUT DROP [62:3617]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [4:304]

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT


COMMIT

# Completed on Wed Dec 11 15:19:25 2013 

Konfiguracja ma na celu zablokowanie wszystkiego oprócz ruchu www. Jednak wystarczył restart komputera 

[root@localhost ~]# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination 


Chain FORWARD (policy ACCEPT)

target prot opt source destination 


Chain OUTPUT (policy ACCEPT)

target prot opt source destination  

i ustawienia nie są pamiętane, jednak plik cały czas istnieje. Teraz nie mogę odszukać forum dzięki któremu dokonałem tych czynności, ale ten plik iptables stworzyłem w terminalu po ustaleniu reguł jakimś poleceniem. 

Jak zrobić żeby reguły były używane?

[@WalDo]

Reguły portów możesz sobie raczej darować, jeśli ostatecznie przepuszczasz wszystkie ESTABLISHED i RELATED.

Zawsze mi się myli więc tego to już na 100% nie jestem pewien, ale ruch z zewnątrz nie będzie wchodził na porty 80 i 443 tylko na całkiem inne tzw. wysokie porty. Raczej chodziło o --sport niż o --dport. I tu pytanie co z serwisami, które nasłuchują z innych niż 443 i 80 portów? Poza tym na 80 i 443 nasłuchują często inne usługi jak np.jabber (swojego czasu najprostszym pominięciem blokady Gadu w firmie było połączenie z serwerem jabbera z transportem GG "nadającym" na 443 lub 80).

Tak więc nie ograniczysz ruchu do WWW a tylko do serwisów nadających na 80 i 443.

 

Co do trwałego wpisu w iptables po wpisaniu z linii poleceń wszystkich regułek:

iptables-save > /etc/sysconfig/iptables
systemctl restart iptables

jeśli po restarcie serwisu widzisz nadal wszystkie reguły tzn. że i po restarcie komputera też będzie OK.

 

No i jeszcze jedno: spróbuj z takim firewallem puścić np.ping do samego siebie tzn. na localhost

[gal3rnik]

Czy aby na pewno potrzebujesz wyłączyć firewalld?

 

Jakiś czas temu potrzebowałem porobić jakieś przekierowania portów. Okazało się że przez firewall-config robi się to prościutko. Kilka kliknięć załatwiło mozolną konfigurację iptabla. No chyba że robisz to zupełnie edukacyjnie.

 

Z tego co widzę i co próbujesz robić wystarczy w strefie public / usługi zafajkować http i https, bodajże drugi raz trzeba to zrobić zmieniając Configuration na Pernament.

[Mentat]

 

Konfiguracja ma na celu zablokowanie wszystkiego oprócz ruchu www.

 

Chodzi o ruch wejściowy www (to jest serwer www) czy wyjściowy (chcesz ograniczyć ruch z sieci wewnętrznej tylko do www)? Bo WalDo pisał raczej o tej drugiej sytuacji. W przypadku pierwszej, regółki na porty 80 i 443 są OK.

 

Mój plik /etc/sysconfig/iptables (stacja robocza bez udziałów):

# Generated by iptables-save v1.4.16.2 on Mon Mar 18 09:15:25 2013
*filter
:INPUT DROP [2:80]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [707:63424]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT
# Completed on Mon Mar 18 09:15:25 2013

W którejś wersji zapis "-m state --state" zamienili na "-m conntrack --ctstate". Przy wklepywaniu komendy sam podmieniał. Dodatkowo ruch po interfejsie lo zawsze powinien być zezwolony.

[@WalDo]

Bo WalDo pisał raczej o tej drugiej sytuacji.

Dokładnie tak to odczytałem. Nie pomyślałem, że może chodzić o wystawienie serwera na świat.

[Krystian Kiermasz]

Póki co, w ramach nauki zmian dokonywałem na laptopie używanym tylko do pracy. Głównie siedzę na pakiecie biurowym, ale od czasu do czasu korzystam z przeglądarki www. Z racji tego iż dość często korzystam z publicznych sieci wifi, lub prywatnych o niewiadomym ustawieniu/zabezpieczeniu, pomyślałem że ograniczę cały ruch tylko do przeglądania stron. 

 

Z tego co wyczytałem w innych postach na tym forum, dobrze jest mieć ustawione INPUT oraz FORWARD na DROP, czego  (tu odpowiedź dla postu gal3rnik) w firewalld nie potrafię ustawić. Z tematu o firewalld który co prawda powstał już jakiś czas temu wyczytałem iż nawet zaawansowani użytkownicy tego forum nie wiedzieli jak tego dokonać dlatego wrócili do iptables. 

 

Jednak po zastosowaniu takiej prostej polityki jestem odcięty od internetu. 

[root@localhost ~]# iptables -L

Chain INPUT (policy DROP)

target     prot opt source               destination         

 

Chain FORWARD (policy DROP)

target     prot opt source               destination         

 

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination       

[@WalDo]

Prosty i w miarę bezpieczny na początek:

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -m comment --comment "allow loopback" -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "INPUT DROP: "
iptables -A INPUT -j DROP
iptables -A OUTPUT -o lo -m comment --comment "allow loopback" -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT DROP: "
iptables -A OUTPUT -j DROP

Przyjmujesz tylko pakiety z połączeń które sam nawiązałeś i wypuszczasz tylko te, które sam zainicjowałeś. Do tego proste logowanie odrzuconych połączeń/pakietów.

Dalej rozwijasz już wedle własnych upodobań.

[Krystian Kiermasz]

Bardzo dziękuję za poświęcony czas i skonfigurowanie mi zapory. Teraz w wolnej chwili przysiądę jeszcze nad tym żeby zrozumieć co wprowadziłem do komputera, i trochę to rozszyfrować. Tak jeszcze dla uporządkowania sytuacji - ta zapora nie tylko przepuszcza ruch www, ale również każdą inną usługę którą ja zainicjuję (dajmy na to ssh, skype, gg itp.)? Dobrze zrozumiałem? 

[@WalDo]

Dokładnie tak. Tak jak napisałem jest to szkielet, od którego można zacząć dalszą konfigurację pod swoje potrzeby. Nie są blokowane żadne porty, żaden z protokołów.