[[linux:net:firewall]]
Historie:
Zobrazit stránku
SprávaPoslední úpravyMapa stránek

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze 		Předchozí verze
linux:net:firewall [01.06.2007 19:39]
mtalma 		linux:net:firewall [13.03.2020 18:43] (aktuální)
Řádek 6: Řádek 6:
   * firewall na základě scriptu [[http://www.petricek.cz/mpfw/|M.Petříčka]]   * firewall na základě scriptu [[http://www.petricek.cz/mpfw/|M.Petříčka]]
   * jednotlivé díly na publikované na [[http://www.root.cz|ROOT]]u: [[http://www.root.cz/clanek.phtml?id=980|1]], [[http://www.root.cz/clanek.phtml?id=990|2]],[[http://www.root.cz/clanek.phtml?id=995|3]]   * jednotlivé díly na publikované na [[http://www.root.cz|ROOT]]u: [[http://www.root.cz/clanek.phtml?id=980|1]], [[http://www.root.cz/clanek.phtml?id=990|2]],[[http://www.root.cz/clanek.phtml?id=995|3]]
 +
 +
 +===== Petříček =====
 <code bash> <code bash>
 #!/bin/sh #!/bin/sh
Řádek 229: Řádek 232:
 </code> </code>
  
 +
 +===== Dynamický blacklist =====
 +  *dynamický blacklist pro SSH spojení - http://olivier.sessink.nl/publications/blacklisting/index.html
 +<code bash>
 +### Dynamic blacklist for SSH connection
 +# create properREJECT chain that does different rejects for tcp/udp
 +$IPTABLES -N properREJECT
 +$IPTABLES -A properREJECT -p tcp -j REJECT --reject-with tcp-reset
 +$IPTABLES -A properREJECT -j REJECT --reject-with icmp-port-unreachable
 +#
 +$IPTABLES -N blacklistdrop
 +$IPTABLES -A blacklistdrop -j LOG --log-prefix "adding to BLACKLIST: "
 +$IPTABLES -A blacklistdrop -m recent --name BLACKLIST --set -j DROP
 +#
 +#
 +# on external hosts, do rate limiting on incoming ssh packets, and keep a blacklist for 30 seconds
 +# this rule drops *any* packet if the IP is in the blacklist
 +# icmp 'destination-unreachable' packets should not update BLACKLIST, because
 +# they are generated by our own REJECT rule in the extern_out chain
 +$IPTABLES -A extern_in -m recent --name BLACKLIST --update --seconds 120 -j DROP
 +#
 +# all *established* ssh connections simply continue
 +$IPTABLES -A extern_in  -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
 +#
 +# *new* ssh connections are all put into a list 'sshconn', and if there are 3 such packets in 30 seconds
 +# we send the package to chain 'blacklistdrop' which puts the IP in the blacklist
 +$IPTABLES -A extern_in  -p tcp --dport 22 -m state --state NEW -m recent --name sshconn --rcheck --seconds 30 --hitcount 3 -j blacklistdrop
 +#
 +# if we have seen less then 3 such packets in the last 30 seconds we accept
 +$IPTABLES -A extern_in  -p tcp --dport 22 -m state --state NEW -m recent --name sshconn --set -j ACCEPT
 +#
 +# if the destination address is in the blacklist, we REJECT *any* packet
 +$IPTABLES -A extern_out -m recent --name BLACKLIST --rdest --rcheck --seconds 30 -j properREJECT
 +#
 +# outgoing we accept all ssh traffic, with connection tracking
 +$IPTABLES -A extern_out -p tcp --sport 22 -m state --state ESTABLISHED,NEW,RELATED -j ACCEPT
 +</code>
  
 ===== Odkazy ===== ===== Odkazy =====
Řádek 238: Řádek 278:
   * http://www.gege.org/iptables/ - analyzátor logů   * http://www.gege.org/iptables/ - analyzátor logů
  
-====== Firewal pro CENTOS ======+ 
 + 
 +===== /etc/sysconfig/iptables =====
 <code> <code>
 *filter *filter
Řádek 279: Řádek 321:
 -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT
  
-### Pravidla pro povolene sluzby+## --- Sluzby pro vsechny --- 
 +# FTP
 -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
 # passivni prenos pro FTP # passivni prenos pro FTP
Řádek 286: Řádek 329:
 -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
  
-##Omezeny pristup na sluzby +## --- Omezeny pristup na sluzby ---
-##+
 # Datron DMZ # Datron DMZ
 -A INPUT -s 212.158.133.128/255.255.255.224 -p tcp -m multiport --destination-port 22,3306 -j ACCEPT -A INPUT -s 212.158.133.128/255.255.255.224 -p tcp -m multiport --destination-port 22,3306 -j ACCEPT
Řádek 294: Řádek 336:
 # z domova # z domova
 -A INPUT -s 86.63.200.73 -p tcp --dport 22 -j ACCEPT -A INPUT -s 86.63.200.73 -p tcp --dport 22 -j ACCEPT
 +
  
 # Broadcasty na lokalnim rozhrani jsou take nase # Broadcasty na lokalnim rozhrani jsou take nase
--A INPUT -i eth1 -d 10.10.255.255 -j ACCEPT+#-A INPUT -i eth1 -d 10.10.255.255 -j ACCEPT
  
 # Stejne jako pakety z lokalni site, jsou-li urceny pro nas # Stejne jako pakety z lokalni site, jsou-li urceny pro nas
--A INPUT -i eth1 -d 10.10.30.23 -j ACCEPT+#-A INPUT -i eth1 -d 10.10.30.23 -j ACCEPT
  
 # MS klienti maji chybu v implementaci DHCP - nechceme DHCP - dropujeme # MS klienti maji chybu v implementaci DHCP - nechceme DHCP - dropujeme
Řádek 307: Řádek 350:
 # Ostatni pakety mimo nasi DMZ pred zahozenim logujeme # Ostatni pakety mimo nasi DMZ pred zahozenim logujeme
 -A INPUT -s ! 212.158.133.128/27 -j logIN -A INPUT -s ! 212.158.133.128/27 -j logIN
 +
 +
 +
  
 ###################################################################### ######################################################################
 # Retezec OUTPUT # Retezec OUTPUT
 # #
- 
  
 # TOS flagy slouzi k optimalizaci datovych cest # TOS flagy slouzi k optimalizaci datovych cest
Řádek 326: Řádek 371:
 -A OUTPUT -s 10.10.30.23  -j ACCEPT -A OUTPUT -s 10.10.30.23  -j ACCEPT
  
-# Povolime DHCP broadcasty na LAN rozhrani+## --- Povolime DHCP broadcasty na LAN rozhrani ---
 #-A OUTPUT -o eth1 -p UDP --dport 68 --sport 67 -j ACCEPT #-A OUTPUT -o eth1 -p UDP --dport 68 --sport 67 -j ACCEPT
  
linux/net/firewall.1180726772.txt.gz · Poslední úprava: 13.03.2020 18:43 (upraveno mimo DokuWiki)
Zobrazit stránkuStarší verze
Správa médiíNahoru
CC Attribution-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0