JReykdal fyrir 23 árum, 6 mánuðum Fjöldi lestra: 1299

Fyrsta grein, hvað skal nota?

Jæja, þá er þetta verkefni hafið og við ætlum sko að malla öflugt apparat til notkunar í Linux.

Vandamálið er að nú eru í gangi tvær mismunandi aðferðir til að smíða góðan Eldvegg, Ipchains og Iptables.

Þrátt fyrir að vera nokkuð líkar (Iptables er framhald af Ipchains) er munur á þeim og fleiri sem þekkja til Ipchains. En aftur á móti er Iptables sú aðferð sem kemur til með að verða ráðandi í framtíðinni og er því nokkuð snúið að ákveða hvað skal nota í vegginn okkar.

Komið með ykkar álit og rök á því hvað við munum nota í blessaðan vegginn.

Svo förum við að ræða síðar skipulag og fleira.

JReykdal

teknique fyrir 20 árum, 3 mánuðum

FreeBSD er mjög ágætt í þetta verk, það þarf bara að recompila kernel með:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100 (best að vera ekki of verbose)
options IPFIREWALL_DEFAULT_TO_ACCEPT (ef maður vill hafa accept sem default regluna í kernelnum)
options IPDIVERT (nauðsinlegt fyrir NAT)
options IPSTEALTH (Support fyrir “stealth forwarding”)
options DUMMYNET (fyrir traffic shaping)
options BRIDGE (notað til að linka dummynet við ipfirewall)

Og ef maður rátar IPv6 þá er ágætt að hafa:
options IPV6FIREWALL
options IPV6FIREWALL_VERBOSE
options IPV6FIREWALL_VERBOSE_LIMIT=100
options IPV6FIREWALL_DEFAULT_TO_ACCEPT

síðan er ipfw tólið notað til að bæta reglum inní kernelinn, dæmi um notkun:
ipfw add deny all from gbh.simnet.is to any (við viljum ekki sjá né heyra frá þessum aðila)
ipfw add deny icmp from any to foo.bar.is icmptypes 8 (Þetta er windblows dolla og er viðkvæm fyrir icmp echo)
ipfw add deny tcp from any to any 137-139 (hendir netbios crappi)
ipfw add deny udp from any to any 137-139 (meira netbios s0rp)
ipfw add pass tcp from any to minn.vefþjónn 80 (hleypa inná vefþjóninn)
ipfw add pass tcp from any to minn.póstþjónn 25 (ef maður er listaður mailserver fyrir lén þá er eins gott að standa við það)
ipfw add pass tcp from any to any 113 (identd er ágætt)
ipfw add deny tcp from any to netið.mitt/mask 0-1023 (hleypum ekki inn á þessi privileged port nema þess þurfi)
ipfw add deny udp from any to netið.mitt/mask 0-1023 (heldur ekki á udp)

við skulum natta smá…
ipfw add divert natd from rfc198.netið.mitt/mask to any out (láta natd skoða/altera alla pakka frá þessu neti sem eru á leiðinni út)
ipfw add divert natd from any to any in (láta natd skoða alla pakka sem koma inn og altera þá sem við eiga)
natd -interface ppp0 -s -m -dynamic -punch_fw 32768:64
^ þetta er dæmi um natd sem notar ppp0 til að fara út, gerir ráð fyrir dynamic addressu á ppp0 og fúnkerar rétt með irc dcc og active ftp.

Núna nenni ég ekki að skrifa meira í bili, for further info, sjá eftirtaldar man pages:
ipfirewall(4)
ipfw(8)
natd(8)
dummynet(4)
og fleiri, munið börnin góð, RTFM!

-Baldu

–

Fyrra álit

JReykdal fyrir 20 árum, 3 mánuðum

þakka innleggið…en þú komst nákvæmlega með rökin fyrir því af hverju við gerum svona í sameiningu. Til að fólk geti skilið þessa flækju sem þú settir frá þér :)

Við skulum byrja aðeins rólegra og á á byrjuninni, en nota þessar reglur sem þú komst með sem grunn

JReykdal

Fyrra álit

sporri fyrir 20 árum, 3 mánuðum

iptables að sjálfsögðu þó ekki sé nema fyrir þá staðreynd að þær leyfa “stateful inspection” þ.e. að þú getur leyft TCP tengingar frá vélinni þinni og svar við þeim aftur til baka, Þannig getur vélin þín verið alveg lokuð utanfrá en samt leyft eðlilega netnotkun. Þetta er eitt af stóru sölutrikkunum hjá t.d. checkpoint og getur verið mjög gagnlegt

Baldur þú ættir að kíkja í ipf eldvegginn (ipfilter, http://coombs.anu.edu.au/ipfilter/) sem er einmitt líka studdur í kjarnanum á FreeBSD, allri *BSD fjölskyldunni reyndar, auk þess að ganga líka á Solaris, HP-UX, IRIX og BSD-OS.

Iptables fá einmitt mjög margt að láni frá IPF nema þá helst öfuga reglusettið, það má jafnvel telja það til vansa við 2.4 kjarnann að menn fóru að skrifa iptables í stað þess að taka upp ipf

Fyrra álit

add1 fyrir 20 árum, 3 mánuðum

Stateful Firewalling:
A network communication is made up of small chunks of data called packets.
In the case of TCP, several of these packets are used solely to create, maintain,
and finish the connection. This is because TCP uses the concept of a connection,
allowing it to automatically correct data errors, interpret incoming packets
in the same order they were sent in, and otherwise keep track of a sustained
connection. Now, how does this relate to packet filters (firewalls)?
Normal “stateless” packet filters, like the ones present on most
routers, inspect each packet individually, with no memory or understanding of
its place in a connection. Now, suppose, like many organizations, you've chosen
not to allow external computers to initiate connections with your internal machines.
A stateless firewall/router can only distinguish a packet that's part of an
existing connection from one that's part of a new connection by reading the
packet's SYN flag.
Re-read that sentence. It has to trust the packet itself.
But wait! A foreign (external) computer created that packet. . . so it can set
the flags any way that it likes! Some network scanners exploit this to bypass firewalls, scanning networks that should have been invisible to it! So, how
do defend ourselves?!
Well, get a stateful firewall! A stateful firewall has a memory of each connection
passing through it. When that foreign packet tries to enter the network, claiming
to be part of an existing connection, the firewall can consult its list of
connections. When it finds that the packet doesn't match any of these, it can
drop that packet and defeat the scan!
Even with the “stateless” UDP protocol, statefulness is still a very
useful feature. Suppose, as before, that you're restricting outside computers
from initiating connections with your internal machines. Well, DNS (computer
name IP address) lookups use UDP [2].
If your routers can't keep track of your DNS requests, they have to allow in
DNS-type (UDP port 53) packets from any DNS server [3]!
A stateful firewall keeps track of all your outgoing DNS requests and only allows
DNS-type (UDP port 53) packets from servers that you've queried and does so
intelligently enough to not keep taking data after the first response.
There's another wonderful advantage to stateful firewalls. They're a whole
lot easier to administer, using a smaller number of rules to create much more
precise firewalling. For the techies here, I offer the example of active FTP.
When your FTP client opens a connection to an FTP server, this is a TCP connection originating at some high port on your client and ending on port 21 on the server.
Whenever you get data, from the directory listing to a full file transfer, a
second connection is opened up. Under active FTP, this connection originates
at the server, on port 20, ending on your client, at some random
high port negotiated between the two hosts. This is backwards! In essence, for
the data channel, your client is acting like a server.
Why is this a
problem? Well, on a stateless “default deny” firewall, where you have
to explicitly list every type of packet that you want to be allowed through
the firewall, it's tough to characterize this connection. In the end, your firewall
says “let every connection through that originates on my clients, and, additionally, allow any machine's TCP port 20 to connect to any high port on
my clients.” This is a kludge and a mess! One reason this makes us uncomfortable
is that attackers have learned to originate their scans from this port, just
to get through these stateless firewalls.
Now, with stateful firewalling, we're
in a much better situation. The firewall is smart enough to monitor the port
negotiation, memorizing what port the data connection will connect to on the
client. It then opens that port, and that port only, rather than the 64512
possible ports on that machine. Not only is this smarter, it's also easy to
configure as it only requires one rule and no kludges.
Stateful firewalls are an incredible and obvious enhancement over stateless.
Every serious enterprise-level firewall incorporates stateful firewalling. That's
not to say that enterprise-level organizations don't use stateless firewalls/routers
too. This connection tracking takes a hell of a lot of memory! Many of these
organizations use stateless devices to block traffic that they never allow from outside, i.e. LAN file sharing (nfs, smb), and follow this up with stateful filtering
to handle the rest.
In any case, statefulness gives your firewall memory, thus
intelligence and power. Its incorporation is an incredible win for Linux. I
strongly recommend that you adopt this stateful technology, whether you use
it via Linux or not.

Addi

Fyrra álit

add1 fyrir 20 árum, 3 mánuðum

Well, einhvernveginn fynnst mér ég vera knúinn til að leggja mitt að mörkum í þessu firewall project :)

Dæmið gerir ráð fyrir að þú sért með grunnkóðann (source code) af Linux 2.4.x kjarnanum og iptables forritið.

# cd /usr/src/linux
# make menuconfig

Ferð í “Networking options”
og velur: [ y ] við “Network packet filtering (replaces ipchains)”
Ferð þá inní “Networking options - IP Netfilter Configuration”
og setur [ y ] við allt þar inni, nema síðustu 2 valmöguleikana (“ipchains (2.2-style) support” & ipfwadm“ (2.0-style) support”)

Síðan lokaru þessu, vistþýðir kjarnann, setur hann upp í LILO og rebootar.

-

Í þessu dæmi mun ég hugsa um að þú sért tengdur netinu og er meðal annars að masqurade'a local traffíkina út á netið.
MJÖG gott ráð er að nota MAC addressur á netkortunum til að hafa eldvegginn ennþá öruggari.

-

/* Við viljum náttúrulega að “okkar” traffík sé alls ekki stoppuð */
# iptables -A INPUT -i lo -j ACCEPT

/* ég vill að eth0 addressan mín verði ekki fyrir neinu böggi :) - hérna nota ég mac addressu til að vera 100% öruggur gagnvart ip-spoofi */
# iptables -A INPUT -i eth0 -m mac –mac-source 00:00:C0:1F:08:DE -s 10.0.0.1 -j ACCEPT

/* Í þessu dæmi er þessi tölva router (og vinnustöð reyndar) fyrir heimilsnetið, ég vill geta notað hina tölvuna á heimilinu til að accessa routerinn */
# iptables -A INPUT -i eth0 -m mac –mac-source 00:00:F0:DE:03:1F -s 10.0.0.2 -j ACCEPT

/* Ég er bæði með “venjulegan” vefþjón og SSL vefþjón, hinn venjulega nota ég bara fyrir innra netið en hinsvegar fynnst mér í lagi að láta SSL vefþjónin snúa að internetinu */
# iptables -A INPUT -i ppp0 -p tcp -d internet.hostname.is –dport 80 -j DROP

/* Ég er með ident server í gangi til að hafa ekki hið ljóta merki dauðans (~) í host, ég vill náttúrulega bara að irc serverinn hafi aðgang að ident servernum mínum */
# iptables -A INPUT -i ppp0 -p tcp -s ! irc.server.is -d internet.host.is –dport 113 -j DROP

/* Síðan vill ég ekki að neinn frá internetinu sé að reyna að connecta sig inn á önnur port hjá mér */

# iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -m state –state NEW -i ! ppp0 -j ACCEPT
# iptables -A INPUT -j DROP

/* Síðan masqurade'a ég traffíkinn frá heimilis-netinu út á internetið, og enn og aftur held ég mig einnig við mac addressur */
# iptables -t nat -A POSTROUTING -o ppp0 -s 10.0.0.2 -m mac –mac-source 00:00:F0:DE:03:1F -j MASQUERADE
# iptables -A FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
# echo 1 /proc/sys/net/ipv4/ip_forward

Og þá ætti þetta að vera komið.
Svona er þetta hjá mér allavega, og virkar fínt.
Aðrir náttúrulega sníða þessu eftir sínu höfði

Gangi ykkur vel.

- addi

Addi

Fyrra álit

add1 fyrir 20 árum, 3 mánuðum

Þetta er reyndar bara fyrir TCP.
Vantar fyrir ICMP, nenni ekki að gera fyrir UDP ;)

Addi

Fyrra álit

add1 fyrir 20 árum, 3 mánuðum

Set næst inn Rate Limit
- Sem hindrar DoS (Denial of Service) s.s smurf árásir á ykkur.

Addi

Fyrra álit

add1 fyrir 20 árum, 3 mánuðum

smá rugl.

síðast línan:

# echo 1 /proc/sys/net/ipv4/ip_forward

átti að vera:

# echo 1 /proc/sys/net/ipv4/ip_forward

Addi

Fyrra álit

JReykdal fyrir 20 árum, 3 mánuðum

þú meinar:

echo “1” /proc/sys/net/ipv4/ip_forward

:)

JReykdal

Fyrra álit

add1 fyrir 20 árum, 3 mánuðum

LOL! :)

Hugi birtir þetta merki ekki :)
heldur shift inni og ytir a takkan vinstra megin við zetu.

ætla að gera nokkar tilraunir til að bua þetta merki til :)

-

\
“”
''

Addi

Fyrra álit

add1 fyrir 20 árum, 3 mánuðum

well tokst ekki :(

Addi

Fyrra álit

JReykdal fyrir 20 árum, 3 mánuðum

hehe…ofvirkur html strippari :)

JReykdal

Fyrra álit

Linux

Linux

Ofurhugar

Stjórnendur

Hverjir eru inni

Pistlar - Eldveggurinn (Project Firewall)

Fyrsta grein, hvað skal nota?

Dýr

Dægurmál

Fræði

Leikir

Lífið

Lífsstíll

Margmiðlun

Menning

Skjár

Sport

Tónlist

Tækni

Vélar

Hugi