iptables, un'approssimazione a un caso reale

L'obiettivo di questo tutorial è controllare la nostra rete, evitando fastidi da parte di qualche altro "ospite indesiderato" che dall'interno vuole vederci il pavimento (espressione cubana che significa dare fastidio, scopare, ecc.), virus "packer", attacchi esterni o semplicemente per il piacere di sapere che possiamo dormire sonni tranquilli .

Nota: Ricorda le politiche di iptables, ACCETTA tutto o RIFIUTA tutto, possono essere utili, in alcuni casi e non in altri, dipende da noi, che tutto ciò che accade sulla rete, è affar nostro, e solo nostro, sì, tuo , il mio, da chi ha letto il tutorial, ma non sa come eseguirlo, o da chi lo ha letto e applicato troppo bene.

Ride you stay !!!

La prima cosa è sapere quale porta occupa ogni servizio su un computer con GNU / Linux installato, per questo non devi chiedere a nessuno, né farti coinvolgere in Google o consultare uno studioso sull'argomento, basta leggere un file. Un piccolo file? Ebbene sì, un piccolo file.

/etc/services

Ma cosa contiene /etc/services?

Molto facile, la descrizione di tutto servizi e porti esistenti per questi servizi tramite TCP o UDP, in modo organizzato e crescente. Detti servizi e porti sono stati dichiarati dal IANA (Internet Assigned Numbers Authority).

Giocare con iptables

Come primi passi, avremo un PC, che sarà la macchina di prova, chiamalo come vuoi, Lucy, Karla o Naomi, lo chiamerò Bessie.

Situazione:

Bene, bene, Bessie è una macchina di progetto che avrà un file VSFTPd montato, OpenSSH in esecuzione e a Apache2 installato una volta per il benchmarking (test della prestazione), ma ora viene utilizzato solo in combinazione con phpMyAdmin per amministrare i database di MySQL che vengono utilizzati internamente di volta in volta.

Appunti da prendere:

Ftp, ssh, apache2 e mysql, sono i servizi che ricevono richieste su questo PC, quindi dobbiamo tenere in considerazione le porte che utilizzano.

Se non sbaglio e /etc/services non dice bugie xD, ftp usa le porte 20 e 21, ssh di default 22 o qualche altro, se è stato definito nella configurazione (in qualche altro post parlerò di come configurare SSH un po 'più di quanto normalmente noto), Apache 80 o 443 se è con SSL e MySQL 3306.

Ora abbiamo bisogno di un altro dettaglio, gli indirizzi IP dei PC che interagiranno con Bessie, in modo che i nostri vigili del fuoco, tra di loro, non calpestino i tubi (significa nessun conflitto haha).

Pepe, lo sviluppatore PHP + MySQL, avrà accesso solo alle porte 20-21, 80, 443 e 3306, Frank, la sua cosa è aggiornare la pagina web del progetto da consegnare tra un mese, avrà accesso solo alla porta 80 / 443 e 3306 nel caso in cui sia necessario apportare correzioni al DB, e avrò accesso a tutte le risorse sul server (e voglio proteggere il login con ssh da IP e MAC). Dobbiamo attivare il ping nel caso in cui desideriamo eseguire il polling della macchina ad un certo punto. La nostra rete è di classe C di tipo 10.8.0.0/16.

Inizieremo un file di testo semplice chiamato firewall.sh in cui conterrà quanto segue:

Incolla No.4446 (Script iptables)

E così, con queste righe, permetti l'accesso ai membri del DevTeam, ti proteggi e proteggi il PC, credo sia meglio spiegato, nemmeno nei sogni. Resta solo da dargli i permessi di esecuzione e tutto sarà pronto per partire.

Esistono strumenti che, tramite una simpatica GUI, permettono agli utenti inesperti di configurare il firewall del proprio PC, come "BadTuxWall", che richiede Java. Anche il FwBuilder, QT, di cui si è già discusso qui o il "Firewall-Jay", con un'interfaccia in ncurses. A mio parere personale, mi piace farlo in chiaro, quindi mi sforzo di imparare.

Questo è tutto, a presto per continuare a spiegare, la lanugine del contro-lanugine, di qualche altra configurazione, processo o servizio.