ot Yordan Georgiev(26-10-2004)
reiting (35)
[  dobre ]
[  zle ]
 Variant za otpechatvane
Kak da si napravim zashtitna stena za po malko ot pet minuti !
VNIMANIE: Statiiata e prednaznachena za nachinaeshti !
Na dadeniia moment cheta edna mnogo interesna kniga – Survarni hakove za Linuks, s avtor Rob Flikendzhur i izdatelstvo O’Reilly. CHeteiki si tazi uvlekatelna kniga (preporuchvam na vsichki, imashti vuzmozhnostta, da si ia zakupiat – prevedena e na bulgarski i izdadena ot izdatelstvo ZeST Pres) stignah do Hak #45 “Suzdavane na zashtitna stena ot komanden red na vseki survar”.
Na kratko e opisan edin shel skript, s chiiato pomosht mozhem za razdavam dostup do mashinata si. Izpolzvat se tri osnovni “grupi” potrebiteli:
1.Potrebiteli ot koito shte priemem vsichkiia trafik. Tezi mashini i mrezhi shte zapishem v whitelist.
2.Potrebiteli na koito shte otkazhem dostupa do mashinata ni. Vuvezhdame gi v blacklist.
3.I tretata grupa sa vsichki ostanali. Na tezi potrebiteli shte dadem dostup, no samo n opredeleni portove, koito shte zapishem v allowed.
Predi da produlzha iskam da spomena kak shte zapisvame potrebitelite. Za vsiaka edna grupa suzdavame tekstovi fail. Az go prava taka:
•Suzdavam direktoriiata /etc/myfirewall
•Suotvetno za vsiaka grupa po edin tekstovi fail sus suotvetnoto ima.
V rezultat na koeto triabva da imame:
/etc/myfirewall/witelist.txt
/etc/myfirewall/blacklist.txt
/etc/myfirewall/allowed.txt
I posledno predi da pokazha samiia skript, neka da vidim, kak shte izpolzvame tezi tekstovi (konfiguratsionni) failove. V purvite dva shte ni se nalovi da vuvezhdame mashini i mrezhi. Tova stava kato na vseki red, vuvezhdame dadenata mashina ili mrezha
Primer:
#192.168.0.1
192.168.10.5
192.168.5.0/26
V tozi primer vizhdame slednoto. Purviia red zapochva s #, koeto oznachava, che niama da igrae v nastroikite. Vseki takuv red v “komentar”. Vtoriia pokazva, kak se vuvezhda mashina i posledni kak stava tova s mrezha.
Vuv faila allowed vuvezhdame portovete, koito triabva da sa dostupni ot potrebitelite, ne uchastvashti v gornite dva faila.
Eto i samiia skript, koito izpolzva iptables:
#!/bin/sh
whitelist=/etc/myfirewall/witelist.txt
blacklist=/etc/myfirewall/blacklist.txt
allowed=/etc/myfirewall/allowed.txt
# iztriwame predi6nite nastroiki
iptables –F
#obhojadme whitelist, priemaiki celiqt trafik ot mrejite i ma6inite w spisaka
for white in `grep –v ^# $whitelist | awk ‘{print $1}’`; do
echo “Permitting $white…”
iptables –A INPUT –t filter –s $white –j ACCEPT
done
#obhojadme blacklist, othwarlqiki celiqt trafik ot mrejite i ma6inite w spisaka
for black in `grep –v ^# $blacklist | awk ‘{print $1}’`; do
echo “Blocking $black…”
iptables –A INPUT –t filter –s $black –j DROP
done
# i nakraq portowete pozwoleni za ma6inite koito ne sa w spisaka na lo6ite mom4eta
for port in `grep –v ^# $allowed | awk ‘{print $1}’`; do
echo “Accepting port $port…”
iptables –A INPUT –t filter –p tcp --dport $port –j ACCEPT
done
#oswen ako ne se spomenawa po-gore I stawa wapros
#za whodq6ta zaqwka za startirane na wrazka, prosto q otkazwame.
iptables –A INPUT –t filter –p tcp --syn –j DROP
E tova e skripta, sustoi se samo ot 18 reda – kakvo po lesno ot tova. Stava za domashna upotreba i ne samo.
Iskam da oburna vnimanie i na oshte niakoi neshta:
1.Za izpolzvaneto na iptables sa neobhodimi root prava. Ako iskate da startirate skripta ot drug potrebitel se konsultiraite s “man sudo”
2.Oburnete vnimanie i koi ima dostup i kakuv do konfiguratsionnite failove.
3.Kakto se kazva v knigata, ot koiato e tsitata, prilagaite vuobrazhenie i promeniaite hakovete. Moiat prinos za tozi hak e izpolzvaneto na fail za portovete (predi tova biaha v promenliva i mi se stori, che po-udachno e da sa vuv fail).
I nakraia iskam da vi dam edna zadachka. Kakvo shte stane , ako pribavim v skripta
iptables –t nat –A POSTROUTING –o $EXT_IFACE –j MASQUERADE
Otgovora e SHLYUZ.
Ochakvam vuprosi, obidi i kakvoto vi doide na um.
Iordan Georgiev – GigaVolt
E-mail: gigavolt@abv.bg
WEB:http://gigavolt.hit.bg
<< SAGA ZA POSIX ili UVOD V POSIX'IVIZMA | Slackware i Promise FastTrak 378 RAID kontroler >>
|
