Tűzfal beállítása Ubuntuban

Slides:



Advertisements
Hasonló előadás
4. alkalom – Hálózat Kezelés
Advertisements

A hálózat működése 1. A DHCP és az APIPA
Hálózati és Internet ismeretek
Programozás III HÁLÓZAT.
Operációs Rendszerek I.
Virtuális méréstechnika Hálózati kommunikáció 1 Mingesz Róbert V
I NTERNET ÉS KOMMUNIKÁCIÓ Készítette: Tratnyek Csilla
14. gyakorlat Zelei Dániel.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Electra IP cím módosítása
Hálózatok.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Számítógépes ismeretek 5. óra
Operációs rendszerek Mappa és file-kezelés.
Hálózat összeállítási feladat 2
Fajfrik Dóra tanárjelölt munkája alapján
Számítógépes hálózatok
IP alapú hálózatok tervezése és üzemeltetése II.
Mérés és adatgyűjtés Kincses Zoltán, Mingesz Róbert, Vadai Gergely 10. Óra MA-DAQ – Műszer vezérlése November 12., 15. v
Globális lekapcsolás? Zelei Dániel. Elvileg… Az Anonymus nevű hekker-csoport megtámadja a 13 root DNS szervert, ezáltal az egész internet „sötétségbe.
Virtuális méréstechnika MA-DAQ műszer vezérlése 1 Mingesz Róbert V
X Window System A LINUX GRAFIKUS FELÜLETE Készítette: Pető László.
Microsoft Virtual PC 2007 Beszerzés, telepítés
Ember László XUBUNTU Linux (ami majdnem UBUNTU) Ötödik nekifutás 192 MB RAM és 3 GB HDD erőforrásokkal.
A TCP/IP cím.
Jelszavak helyes megválasztása, szótáras törés
WEB Technológiák Dr. Pance Miklós – Kolcza Gábor Miskolci Egyetem.
Hálózatkezelés, java.net Elek Tibor
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Számítógépes hálózatok világa Készítette: Orbán Judit ORJPAAI.ELTE.
Operációs rendszerek gyakorlat 4. Gyakorlat Vakulya Gergely.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Hálózatkezelési újdonságok Windows 7 / R2
INTERNET.
DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.
Hálózati beállítások és szolgáltatások
Windows 2000 biztonság a gyakorlatban Pusztai László vezető konzulens Microsoft Magyarország.
Gyakorlat 3. Számítógép hálózatok I.
Illés Zoltán ELTE Informatikai Kar
A TCP/IP protokoll és az Internet
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Hálózat menedzsment Óravázlat Készítette: Toldi Miklós.
Óravázlat Készítette: Toldi Miklós
Óravázlat Készítette: Kucsera Mihály és Toldi Miklós
Az operációs rendszer feladata
Kapcsolatok ellenőrzése
Mérés és adatgyűjtés laboratóriumi gyakorlat Hálózati kommunikáció 1 Makan Gergely, Mingesz Róbert, Nagy Tamás V
Operációs rendszerek I.
A Windows Server 2003 telepítése. Javasolt, minimális hardver CPU1 GHz RAM512 MB HDD2-2,5 GB + Exchange, SQL…
Dynamic Host Configuration Protocol
IP alapú hálózatok tervezése és üzemeltetése
Fájlkezelés Programozási tételek
WireShark - Forgalom elemzés
Tűzfal (firewall).
A távoli asztal, valamint az Endnote használata a távoli asztalon Skultéti Attila
COMPU-CONSULT Ltd. Saját kábeltv IP kamerával Előadók: Szabó Bence, COMPU-CONSULT Kft. Imre Gábor Panasonic, Előadás közben telefonálhat:
TCP/IP 2. Dr. Nehéz Károly egyetemi adjunktus Miskolci Egyetem Alkalmazott Informatikai Tanszék 2004.
Almási Béla - NAT 1 Network Address Translation -NAT.
A szállítási réteg az OSI modell 4. rétege. Feladata megbízható adatátvitel megvalósítása két hoszt között. Ezt úgy kell megoldani, hogy az független.
Készítette: Rummel Szabolcs Elérhet ő ség: Linux kezelése.
Hálózatos programok készítése
HTE előadás BME TMIT I. 210 Az internet szolgáltatás mérése az NMHH gyakorlatában – a szolgáltatásminőség EU-s dimenziója Előadók: Torma Zsolt (NMHH)
A Linux beállítása tűzfalnak
Hálózati rendszerek adminisztrációja JunOS OS alapokon
Hálózatkezelés Java-ban
Hálózatok építése és üzemeltetése
Docker (on Windows) Hogyan kerüljük el a csapdákat?
Az operációs rendszerek
Kisvállalati hálózat kialakítása raspberry szerverrel
Válasz a hálózatra, biztonságra, meg mindenre: 7
Előadás másolata:

Tűzfal beállítása Ubuntuban Készítette: Nemes Krisztián

Lássuk először a teljes szkriptet: #--------------------------------- firewall.sh #!/bin/bash #modulok betoltese modprobe ip_conntrack_ftp iptables -F #Minden szabaly torlese iptables -X #Ures lancok torlese iptables -P INPUT DROP #Default policy beallitasa iptables -P OUTPUT DROP iptables -P FORWARD DROP #INPUT lanc iptables -A INPUT -i lo -j ACCEPT #rogton eldobando csomagok: iptables -A INPUT -p tcp -m multiport --dport 67,135,137,138,139,445,1026,1027,5900,6881 -j DROP iptables -A INPUT -p udp -m multiport --dport 67,135,137,138,139,445,1026,1027,5900 -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT #ssh iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j ACCEPT iptables -A INPUT -j LOG --log-prefix "INPUT_DROP: " iptables -A INPUT -j DROP #OUTPUT lanc iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -m multiport --dport 20,21,43,80,443 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #DNS iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT #ftp iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT #ftp iptables -A OUTPUT -p tcp --dport 2379 -j ACCEPT #KGS iptables -A OUTPUT -j LOG --log-prefix "OUTPUT_DROP: " iptables -A OUTPUT -j DROP if test -r /etc/iptables.rules; then rm -f /etc/iptables.rules fi #Tűzfal mentése iptables-save -c > /etc/iptables.rules echo "A Tuzfal mentese sikeres!" #--------------------firewall.sh

A tűzfal működési elve: A be- és kimenő adatok csomagok formájában jelennek meg. Ezeket a csomagokat kell ellenőrizni, majd átengedni, vagy letiltani. Ezt láncok segítségével tudjuk a legegyszerűbben megoldani. A 3 alapértelmezett lánc az INPUT, OUTPUT és FORWARD.

A láncok működési elve: A láncokat láncszabályokkal tudjuk pontosítani. Ennek lényege, hogy több szabályt is létrehozunk pl. az INPUT-on belül. Ezek legyenek: 1. szabály, 2.szabály, 3. szabály… Minden szabály más-más méretű csomagokat kezel. Az 1. a legkisebbet, a 2. nagyobbat, a 3. mégnagyobbat… Ha valamelyik csomagot egyik szabály sem tudja kezelni, akkor az a házszabályhoz kerül. A házszabály előre beállított, pl. a hozzá kerülő csomagokat eldobja.

Láncok és láncszabályok: Input: Output: Forward: 1. szabály 2. szabály 3. szabály … házszabály 1. szabály 2. szabály 3. szabály … házszabály 1. szabály … házszabály

Most nézzünk egy példát INPUT-ra: Csomag (75kb) 1. szabály (< 3kb) 2. szabály (< 8kb) 3. szabály (< 30kb) 4. szabály (< 50kb) házszabály (eldobás)

A szkript értelmezése Modulok betöltése: Szabályok/láncok törlése: modprobe ip_conntrack_ftp Szabályok/láncok törlése: iptables -F iptables -X Alaphelyzetbe állítás: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Itt bármyilen új láncot hozzáadhatunk! iptables -P „BÁRMI” DROP

INPUT lánc házszabályának beállítása: Gépen belüli kommunikáció engedélyezése: iptables -A INPUT -i lo -j ACCEPT lo interface(loopback) Azonnal eldobandó csomagok: iptables -A INPUT -p tcp -m multiport --dport 67,135,137,138,139,445,1026,1027,5900,6881 -j DROP iptables -A INPUT -p udp -m multiport --dport 67,135,137,138,139,445,1026,1027,5900 -j DROP iptables -A INPUT -j LOG --log-prefix "INPUT_DROP: " iptables -A INPUT -j DROP Különböző portok Engedélyezett csomagok: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT #ssh iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j ACCEPT Saját kérések Távoli asztali kapcsolat Pingelés tesztelése

megcsináljuk a többi láncra is! INPUT lánc házszabályának beállítása: Érkezett csomagok „loggolása”: iptables -A INPUT -j LOG --log-prefix "INPUT_DROP: " Maradék eldobása: iptables -A INPUT -j DROP Ugyanezt a folyamatot megcsináljuk a többi láncra is!

A Tűzfal mentése: Mentési hely megadás: Mentés: Automatikus indítás: if test -r /etc/iptables.rules; then rm -f /etc/iptables.rules fi Ha a fájl már létezik, töröljük! Mentés: iptables-save -c > /etc/iptables.rules if test -r /etc/iptables.rules; then echo "A Tuzfal mentese sikeres!" fi #--------------------firewall.sh Szól, ha sikerült a mentés. Automatikus indítás: - /etc/rc.local fájl megnyitása - A fájl végén levő „exit 0” parancs elé iptables-restore < /etc/iptables.rules

Fontosabb port-ok: 20, 21: FTP 43, 80, 443: Böngésző 67: DHCP szerver címe 135, 137, 138, 139, 445: Windows-portok 2379: Játék-szerverek 5900: VNC-szerver 6881: Bittorrent

Köszönöm a figyelmet! 