Jæja. Long time no work :)

Núna hef ég uppfært eldvegginn aðeins. Bætt við nokkrum færslum og lagað aðrar. Endilega látið vita ef eitthvað vantar eða er í ólagi.
DCC send vandamálið er ennþá vandamál :). Það liggur í grunnatriðum iptables og virðist ekki virka almennilega að nota ip_conntrack_irc.o. Þó grunar mig að hún gæti verið að slá saman við ip_conntrack_ftp.o. En ég þjáist ekki þótt ég sé án DCC send.

Það sem ég aðallega bætti við er DNAT á ident óskir. Það sendir allar fyrirspurnir um ident yfir á staðarnetið. Endilega komið með feedback á þetta. Þetta gæti einnig virkað varðandi port 6116 og battle.net ef einhver vill prófa :)

<hr>
#!/bin/sh


##BREYTINGAR##
#1.05 15. nóvember 2001
#Bætt við port forward á identd
#Það bætir tengihraða við irc og ftp sem dæmi.
#Í samræmi við identd færsluna lokaði ég færslum
#varðandi Identd og ircservera. Þær eru ennþá til
#staðar en óvirkar.
#Einnig lagfærð ýmis atriði varðandi localnet.
#Enn og aftur þakkir til Palla varðandi “Sed færsluna”
#
#1.04, 11. ágúst 2001
#Reyna að ná honum dreifingarhæfum

#1.03, 3. ágúst 2001
#Enn meiri lagfæringar og pælingar

# 1.02, 8. júlí 2001
#Bætt við ýmsum lagfæringum sem mér var bent á. Þakka þér Palli.


# 1.01, 3. júlí 2001#
# Bætt við ýmsum nýjungum, fengnar úr snilldarlegum vegg frá Princeton háskóla
# Slóðin á hann er: http://www.cs.princeton.edu/~jns/security/iptables/
# Hrein snilld þar á ferð.





STATICIP= #Fasta IP-talan þín
LOCALNET=192.168.0.0 #Networkið á staðarnetinu
NETMASK=255.255.255.0 #Netmaski staðarnets
IRCSERVER=194.105.224.50 #irc server sem þú notar
#t.d irc.simnet.is
IFACE=ppp0 #getur verið pppX eða ethX
DNS=157.157.205.2 #Fyrsti DNS þjónn, t.d.
#157.157.205.2 fyrir símnet

##Hérna er gott að svara með 0 eða 1
#Viltu pinga eða ekki? 1 fyrir nei, 0 fyrir já
#Rétt er að taka það fram að það er litið
#hornauga að svara ekki pingi
PINGS=0

#Best að tæma töfluna fyrst
iptables -F
iptables -t nat -F
iptables -X

##KERNEL FLAGS (paranoiu svæðið) :)
# Segir hvort þú viljir pinga eður ei
/bin/echo “$PINGS” > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Þarna er lokað á aðferð sem notuð er við að falsa uppruna pakka
#með því að láta sem þeir koma frá innranetinu. Þetta á ekki að hindra
#eðlilega virkni netsins.
/bin/echo “0” > /proc/sys/net/ipv4/conf/all/accept_source_route
/bin/echo “0” > /proc/sys/net/ipv4/conf/$IFACE/accept_source_route


# Notum ekki “ICMP redirect móttöku”. Hægt er að nota slíkt til að
# breyta “routing töflunni”, ekki sniðugt.
/bin/echo “0” > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo “0” > /proc/sys/net/ipv4/conf/$IFACE/accept_redirects

# Verjum oss gegn fölsuðum villuboðum
/bin/echo “1” > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Skráum niður alla falsaða pakka.
/bin/echo “1” > /proc/sys/net/ipv4/conf/all/log_martians
/bin/echo “1” > /proc/sys/net/ipv4/conf/$IFACE/log_martians


##REGLUR



#Port Forwarding. Fyllið út í eyðurnar sjálf :)
#iptables -t nat -A PREROUTING -i $IFACE -p tcp –destination-port XX -j DNAT –to XXX.XXX.XXX.XXX

#Port forwarding á identd.
iptables -t nat -A PREROUTING -i $IFACE -p tcp –destination-port 113 -j DNAT –to `echo $LOCALNET | sed ‘s/.0$/.1/g’`-`echo $LOCALNET | sed ‘s/.0$/.253/g’`

#prófa source nat
iptables -t nat -A POSTROUTING -o $IFACE -j SNAT –to $STATICIP

#Bara að hleypa áfram frá okkar undirneti
iptables -A FORWARD -s $LOCALNET/$NETMASK -j ACCEPT
iptables -A FORWARD -d $LOCALNET/$NETMASK -j ACCEPT
iptables -A OUTPUT -s $LOCALNET/$NETMASK -j ACCEPT

#Hjálpar að localhost megi tengjast :)

iptables -A FORWARD -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A FORWARD -d 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT

#Þessi lína er fyrir ftp-data. Í þróun
iptables -A INPUT -i $IFACE -p tcp –source-port 20 -d $STATICIP –destination-port 1024:65535 -j ACCEPT

#Leyfum DNS að tala við oss, annars flæða villubðin um loggana.
iptables -A INPUT -p udp -d $STATICIP -s $DNS –source-port 53 -j ACCEPT

#Leyfum SSH
iptables -A INPUT -p tcp -d $STATICIP –destination-port 22 -j ACCEPT
echo “SSH er opið”

#Leyfum WWW
iptables -A INPUT -p tcp -d $STATICIP –destination-port 80 -j ACCEPT
echo “Vefþjónn opinn”

#Leyfum blessaðan Identinn fyrir irc

#iptables -A INPUT -p tcp -s $IRCSERVER -d $STATICIP –destination-port 113 -j ACCEPT
#iptables -A INPUT -p udp -s $IRCSERVER -d $STATICIP –destination-port 113 -j ACCEPT

#iptables -A INPUT -p tcp -s 212.30.198.81 -d $STATICIP –destination-port 113 -j ACCEPT
#iptables -A INPUT -p udp -s 212.30.198.81 -d $STATICIP –destination-port 113 -j ACCEPT

#echo “identd bara opinn $IRCSERVER”




##SYN-FLOOD VÖRN
# Þessi regla ákveður hraðan sem innkomandi tengingar geta tengst (ekki download hraði,
# heldur hversu oft í röð þær geta tengst)
# ATH: Þessi regla er ennþá í þróun varðandi limit og fl., virðist ekki gera mjög mikið eins og er :)

iptables -N syn-flood
iptables -A INPUT -i $IFACE -p tcp –syn -j syn-flood
iptables -A syn-flood -m limit –limit 1/s –limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP



#Verum viss um að nýjar (NEW) tcp tengingar eru SYN pakkar
iptables -A INPUT -i $IFACE -p tcp ! –syn -m state –state NEW -j DROP



## FRAGMENTS
# Fragments eru slæmar…banna og logga!
iptables -A INPUT -i $IFACE -f -j LOG –log-prefix “IPTABLES FRAGMENTS: ”
iptables -A INPUT -i $IFACE -f -j DROP





#Þessar línur athuga hvort tengingarnar eigi erindi hingað inn
#Ef þú villt líka loka á ICMP þá geturðu sleppt -p færslunum
iptables -A INPUT -d $STATICIP -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -d $STATICIP -p udp -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state –state NEW -i ! $IFACE -j ACCEPT





#Loggum og droppum, upplýsingar skrifast í /var/log/messages (eða hvernig sem syslog.conf hefur það)
#Hingað inn fara allar þær tengingar sem ekki passa við þær reglur sem settar eru fyrir ofan.
iptables -N LOGDROP
iptables -A LOGDROP -j LOG –log-prefix logdrop –log-level warn
iptables -A LOGDROP -j DROP
iptables -A INPUT -p tcp -i $IFACE -j LOGDROP
iptables -A INPUT -p udp -i $IFACE -j LOGDROP





#óþarfi að leyfa meira út en þegar er skilgreint.
iptables -A FORWARD -i $IFACE -j DROP
echo “lokað á óþarfa tengingar”



#Policies
iptables -P FORWARD DROP


# af stað með forwarding (just in case)
echo “1” > /proc/sys/net/ipv4/ip_forward





echo “JReykdal/hugi.is Eldveggur hefur verið reistur”
echo “v1.05 15.11.01”
JReykdal