lehrgaenge:linux:5103_linux_security_und_firewall
SSH
Einen anderen Port verwenden auf Servermaschine in
/etc/ssh/sshd_config
Port 22 auf Port 2222 ändern
Auf Clientmaschine
mit
ssh -p 2222 kit@192.168.6.30
zugreifen oder
.ssh/config anlegen
host 192.168.6.30 hostname 192.168.6.30 protocol 2 port 2222 IdentityFile ~/.ssh/id_rsa
Firewall
Route auf Debian vor Eintrag
root@host10:~# route Kernel-IP-Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface 192.168.6.0 * 255.255.255.0 U 0 0 0 br0 192.168.80.0 * 255.255.255.0 U 0 0 0 vmnet8 192.168.247.0 * 255.255.255.0 U 0 0 0 vmnet1 default 192.168.6.254 0.0.0.0 UG 0 0 0 br0
root@host10:~# route add -net 10.10.10.0 netmask 255.255.255.0 gw 192.168.6.30
Nach Eintrag
root@host10:~# route Kernel-IP-Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface 192.168.6.0 * 255.255.255.0 U 0 0 0 br0 192.168.80.0 * 255.255.255.0 U 0 0 0 vmnet8 192.168.247.0 * 255.255.255.0 U 0 0 0 vmnet1 10.10.10.0 192.168.6.30 255.255.255.0 UG 0 0 0 br0 default 192.168.6.254 0.0.0.0 UG 0 0 0 br0 root@host10:~#
Permanent:
/etc/network/interfaces:
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo br0
iface lo inet loopback
iface br0 inet static
address 192.168.6.10
netmask 255.255.255.0
gateway 192.168.6.254
bridge_ports eth0 tap0
pre-up tunctl -t tap0 -u kit
bridge_stp on
bridge_maxwait 2
up route add -net 10.10.10.0 netmask 255.255.255.0 gw 192.168.6.30 br0
Auf suse Routing einstellen:
echo > 1 /proc/sys/net/ipv4/ip_forward für dauerhafte Einstellung: /etc/sysconfig/sysctl <code>IP_FORWARD="yes"
Temporäre Route zum Vordermann
root@host10:~# route add -net 10.7.10.0 netmask 255.255.255.0 gw 192.168.6.27
Festeinstellen in
/etc/sysconfig/newtwork/route
10.7.10.0 192.168.6.27 255.255.255.0 eth1
N A T
ICMP Typen http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml#icmp-parameters-codes-33
IPTables
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT iptables -A OUTPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -o lo -j ACCEPT iptables -A INPUT -s 10.10.10.0/24 -d 10.10.10.1 -p tcp --sport 1024: --dport 3128 -i eth0 -j ACCEPT iptables -A OUTPUT -s 192.168.6.30/24 -d 0/0 -p tcp -o eth1 -j ACCEPT iptables -A INPUT -s 0/0 -d 192.168.6.30 -p tcp -i eth1 -j ACCEPT iptables -A INPUT -s 152.3.32.1 -d 192.168.6.30 -p udp --sport 53 -dport 1023: -i eth1 -j ACCEP
optional
iptables -A INPUT -s 10.10.10.0/24 -d 10.10.10.1/24 -i eth0 -j ACCEPT iptables -A INPUT -s 10.10.10.0/24 -d 10.10.10.1 -p tcp --sport 1024: --dport 3128 -i eth0 -m state --state NEW -j ACCEPT
Reglen mir Nummerierung anzeigen:
iptables -L -n --line-numbers
Ersetzen der dritten Regel in INPUT
iptables -R INPUT 3 -s 0/0 -d 192.168.6.30 -p tcp --sport :1023 --dport 1023: -i eth1 -j ACCEPT
Regelnsichern mit iptables-save
iptables-save >> /home/kit/Documents/iptables.txt
# Generated by iptables-save v1.3.8 on Thu Sep 22 05:05:46 2011 *filter :INPUT DROP [1000:150229] :FORWARD DROP [0:0] :OUTPUT ACCEPT [449:280658] -A INPUT -s 127.0.0.0/255.0.0.0 -d 127.0.0.0/255.0.0.0 -i lo -j ACCEPT -A INPUT -s 10.10.10.0/255.255.255.0 -d 10.10.10.1 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 3128 -j ACCEPT -A INPUT -d 192.168.6.30 -i eth1 -p tcp -m tcp --sport 0:1023 --dport 1023:65535 -j ACCEPT -A INPUT -s 152.3.32.1 -d 192.168.6.30 -i eth1 -p udp -m udp --sport 53 --dport 1023:65535 -j ACCEPT -A OUTPUT -s 127.0.0.0/255.0.0.0 -d 127.0.0.0/255.0.0.0 -o lo -j ACCEPT -A OUTPUT -s 192.168.6.0/255.255.255.0 -o eth1 -p tcp -j ACCEPT COMMIT # Completed on Thu Sep 22 05:05:46 2011
Die Bridge erhält eine freie IP-Adresse im Netzwerk des Host-Systems.
leopard:~ # ifconfig bri0 192.168.1.100 up
lehrgaenge/linux/5103_linux_security_und_firewall.txt · Zuletzt geändert: von 127.0.0.1