Nowe posty

xx Dystrybucja pod HP Omen (6)
Wczoraj o 23:30:08
xx [Poradnik] Wyszukiwanie Sterowników (2)
Wczoraj o 21:08:23
lamp Problem z Linux Lite po instalacji (0)
Wczoraj o 19:50:30
xx Ile pingwinów? (1)
Wczoraj o 08:59:24
xx konfiguracja pale moon (0)
2024-03-24, 21:53:42
xx Plasma 6 w Neonie ssie trochę mniej ... (10)
2024-03-23, 02:38:11
xx problem z instalacja sterowników do karty sieciowej (3)
2024-03-18, 18:10:16
xx Plik abc.001 (1)
2024-03-17, 17:48:27
xx Zlecę dopracowanie programu w MatLab (0)
2024-03-13, 15:28:40
xx Linux Mint 21.3 XFCE brak dźwieku po paru minutach (karta muzyczna zintegrowana) (5)
2024-03-12, 23:07:01

Autor Wątek: Firewall iptables  (Przeczytany 1990 razy)

Offline pld

  • Users
  • Użytkownik
  • **
  • Wiadomości: 66
    • Zobacz profil
Firewall iptables
« dnia: 2017-08-16, 12:00:51 »
Witam,
czym różnią się dodatkowe firewall'e od własnych reguł w iptables?
Dobrze skonfigurowane iptables zapewnia bezpieczeństwo bez dodatkowych firewalli?

#!/bin/bash
#Czyszczenie dotychczasowych regul
 iptables -F
 iptables -Z
 iptables -X
 iptables --flush
 iptables --table nat --flush
 iptables --delete-chain
 iptables --table nat --delete-chain

#Odrzucanie polaczen nieprzypisanych w firewall
 iptables -P FORWARD DROP
 iptables -P INPUT DROP
 iptables -P OUTPUT DROP

#Przypisnie interfejsow do zmiennych
 LAN="eth1"
 INTERNET="eth0"
 DMZ="eth2"

#NAT
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

##INTERNET-eth0
#Zezwol na polaczenie SSH
 iptables -A INPUT -i $INTERNET -p tcp --dport 22 -j ACCEPT
 iptables -A OUTPUT -o $INTERNET -p tcp --sport 22 -j ACCEPT
#Zezwol na pingowanie
 iptables -A INPUT -i $INTERNET -p icmp -j ACCEPT
 iptables -A OUTPUT -o $INTERNET -p icmp -j ACCEPT
#Zezwol na polaczenie z DNS Ostatnia reguła zezwala na przepuszczanie odpowiedzi z serwera DNS zamieszczonego w Internecie
 iptables -A OUTPUT -o $INTERNET -p udp --dport 53 -j ACCEPT
 iptables -A INPUT -i $INTERNET -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Zezwol na polaczenia http. Przychodzace tylko nawiazane poprzez wychodzace
 iptables -A OUTPUT -o $INTERNET -p tcp --dport 80 -j ACCEPT
 iptables -A INPUT -i $INTERNET -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT


##LAN-eth1
#Zezwol na pingowanie z LAN do INTERNET
 iptables -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT
 iptables -A FORWARD -i $INTERNET -o $LAN -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
#Zezwol SSH
 iptables -A INPUT -i $LAN -j ACCEPT
 iptables -A OUTPUT -o $LAN -j ACCEPT
#Zezwol na polaczenie z DNS Ostatnia reguła zezwala na przepuszczanie odpowiedzi z serwera DNS zamieszczonego w Internecie
 iptables -A FORWARD -i $LAN -o $INTERNET -p udp --dport 53 -j ACCEPT
 iptables -A FORWARD -i $INTERNET -o $LAN -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
#HTTP
 iptables -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT
 iptables -A FORWARD -i $INTERNET -o $LAN -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT


##DMZ-eth2

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3049
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Firewall iptables
« Odpowiedź #1 dnia: 2017-08-16, 15:03:43 »
Wszelkie nakładki w końcu i tak generują reguły IPtables.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline Andrzej J

  • Users
  • Guru
  • *****
  • Wiadomości: 713
    • Zobacz profil
Odp: Firewall iptables
« Odpowiedź #2 dnia: 2017-08-16, 16:40:24 »
"Nakładki" są po prostu wygodne w uzytkowaniu/konfigurowaniu...sam używam ufw.

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2763
  • 1709
    • Zobacz profil
Odp: Firewall iptables
« Odpowiedź #3 dnia: 2017-08-16, 22:09:28 »
- Jeśli chodzi o róznice między np. ufw i iptables
Zgadzam się z Andrzej J w przypadku prostej konfiguracji,
w przypadku bardziej zaawansowanej konfiguracji iptables wydaje sie prostrze bo ma wiecej dokumentacji w sieci i większość regół dziala jak trzeba.
W przypadku innych firewalli chyba jest podobnie, choć nie testowałem. ( arptables, ebtables )

Tu jest taki przykład ufw i do złudzenia przypomina iptables
https://www.wilderssecurity.com/threads/tutorial-expert-linux-firewalling.376935/page-3

W przypadku gufw, nakładki do ufw jest jeszcze gorzej.
Daje użytkownikowi możliwość prostej konfiguracji,
 ale jeszcze nie rozwineło się na tyle, by dać użytkownikowi wszystkie opcje i wszystkie narzędzia w taki sposób by potrafił skonfigurować zaporę bez czytania poradników.
- brak prostego sniffer-a, żeby automatycznie odblokować porty danego procesu
 ( gufw ma tylko kilka gotowych reguł )
- brak możliwości blokowania aplikacji, albo odblokowania, tutaj chyba warto dodatkowo poznać apparmor
- log nie jest zbyt zaawansowany i czytelny,
- brak statystyk np. atakow, w zalezności od włączonych i specjalnie określonych reguł bokujących ataki.

- Jeśli chodziło o to czym się różnią tablice, warto zacząć czytać poradniki zaczynając np. od
https://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables
https://pl.wikibooks.org/wiki/Debian_-_uniwersalna_instalacja/Konfigurowanie_iptables
https://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables/akcje
( tak, ktos ten spis treści zbyt ubogo zrobił )
w sieci jeszcze radzą https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html i http://ipset.netfilter.org/iptables-extensions.man.html
http://www.thegeekstuff.com/2011/06/iptables-rules-examples
Więcej na https://www.netfilter.org/documentation/index.html#documentation-howto
i na youtube
Trochę tych linków jest, ale iptables się rozwija, poza tym brak dobrego poradnika po polsku.
Poza tym iptables to nie wszystko ...
Zwykłemu użytkownikowi wystarczą podstawowe reguły,
ale administrator sieci, jeśli chce zrobić bardzo restrykcyjną zaporę to musi użyć czasem jeszcze
z netstat  żeby wiedzieć co w systemie nasłuchuje,
z jakiegoś sniffer- a  żeby wiedzieć jakich portów i IP używa apikacja np. tcpdump
i narzedzia do testowania zapory np. nmap
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.