[ Pobierz całość w formacie PDF ]

-j LOG --log-prefix "NULL PORT SCAN: " --log-level warning
iptables -t nat -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST
-j LOG --log-prefix "SYN/RST PORT SCAN: " --log-level warning
iptables -t nat -A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN
-j LOG --log-prefix "SYN/FIN PORT SCAN: " --log-level warning
iptables -t nat -A PREROUTING -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -t nat -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
iptables -t nat -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -t nat -A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# 4 zabezpieczamy siÄ™ przed podszywaniem siÄ™ przez hosty z zewnÄ…trz pod
# hosty z naszej sieci
iptables -t nat -A PREROUTING -s "$INTRANET" -i eth0 -j DROP
iptables -t nat -A PREROUTING -s "$WEB_SERVERS" -i eth0 -j DROP
# 5 odrzucamy wszystkie pakiety z Ip różnym od IP naszego gatewaya
# przychodzÄ…ce na interfejs eth0
iptables -t nat -A PREROUTING -d !"$GATEWAY_IP" -i eth0 -j DROP
# 6 przekierowujemy pakiety skierowane do gatewaya na porty odpowiadajÄ…ce
# usługom oferowanym przez nasze serwery do serwerów, dzięki temu
# serwery są  widoczne w Internecie pomimo że są za maskaradą
iptables -t nat -A PREROUTING -m multiport -p tcp -d "$GATEWAY_IP" --dport
"$WWW_SERWER_PORTS" -j DNAT --to-destination "$WWW_SERVER"
iptables -t nat -A PREROUTING -m multiport -p tcp -d "$GATEWAY_IP" --dport
"$FTP_SERWER_PORTS" -j DNAT --to-destination "$FTP_SERVER"
iptables -t nat -A PREROUTING -m multiport -p tcp -d "$GATEWAY_IP" --dport
"$MAIL_SERWER_PORTS" -j DNAT --to-destination "$MAIL_SERVER"
iptables -t nat -A PREROUTING -m multiport -p tcp -d "$GATEWAY_IP" --dport
"$NEWS_SERWER_PORTS" -j DNAT --to-destination "$NEWS_SERVER"
# 7 ustawiamy logowanie pakietów przesyłanych pomiędzy naszą siecią
# lokalną a Internetem, logujemy pakiety otwierające połączenie (z usatwionym
# bitem SYN) oraz zamykajÄ…ce je (z ustawionym bitem FIN)
iptables -A FORWARD -m tcp -p tcp -s "$INTRANET" -o eth0 --tcp-flags
SYN,RST,ACK SYN -j LOG --log-level info --log-prefix "$MASQUERADE_LOG_SYN"
iptables -A FORWARD -m tcp -p tcp -s "$INTRANET" -o eth0 --tcp-flags
FIN,RST,ACK FIN,ACK -j LOG --log-level info --log-prefix "$MASQUERADE_LOG_FIN"
# 8 ustawiamy maskaradÄ™
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
success "$MASQ_INFO"
W powyższym pliku najpierw zezwalamy na forwarding pakietów IP (sekcja 1). Potem ustalamy reguły
dotyczące pakietów przeznaczonych dla gatewaya (sekcja 2).Reguły te nie dotyczą pakietów które
przekierowaliśmy do serwerów usług sieciowych, gdyż zgodnie ze schematem z pkt. 2.3 pakiety te nie są
przetwarzane przez reguły łańcucha INPUT. Zezwalamy jedynie na połączenia via telnet i ssh do naszego
serwera oraz na ruch pakietów ICMP i obsługę DNS. W wersji 1.1.1 iptables, którą posługiwaliśmy się w
naszym systemie był błąd polegający na tym że przy powyższych ustawieniach nie były przepuszczane
pakiety ICMP echo reply. Reguły zgrupowane w sekcji 3 zabezpieczają gateway przed skanem portów, przy
użyciu najczęściej stosowanych technik. Pakiety odpowiadające tym technikom są logowane i odrzucane. W
sekcji 4 zabezpieczamy siÄ™ przed podszywaniem siÄ™ przez hosty z Internetu pod hosty z naszej sieci. W
Plik: firewall Wersja: 0.1-82 z dnia 13.06.2002 Stron: 41 Długość: 307 kB
Copyright © 2002 Akademia Górniczo-Hutnicza Prowadzenie zajęć: mgr inż. BogusÅ‚aw Juza
35
Piotr Kopyt, Michał Kułakowski, Krzysztof Niemiec
sekcji 6 odrzucamy wszystkie pakiety z IP innym niż IP naszego gatewaya przychodzące na interfejs eth0.
Następnie przekierowujemy pakiety skierowane na porty odpowiadające usługom sieciowym które oferują
nasze serwery do tych serwerów. Dzięki temu serwery te są dostępne w Internecie pomimo tego że znajdują
się za maskaradą. W sekcji 7 znajdują się reguły odpowiedzialne za logowanie połączeń z sieci lokalnej do
Internetu. Logujemy pakiety otwierające połączenie (z ustawionym bitem SYN) i zamykające połączenie (z
ustawionymi bitami FIN i ACK). W sekcji 8 ustawiamy maskowanie dla pakietów skierowanych do
interfejsu eth0.
Plik: firewall Wersja: 0.1-82 z dnia 13.06.2002 Stron: 41 Długość: 307 kB
Copyright © 2002 Akademia Górniczo-Hutnicza Prowadzenie zajęć: mgr inż. BogusÅ‚aw Juza
36
Piotr Kopyt, Michał Kułakowski, Krzysztof Niemiec
6. Skrypt analizujÄ…cy logi z maskowania pod systemem
Linux.
Poniżej przedstawiono fragment przykładowy pliku zawierającego logi z maskowania w systemie. W
przedstawionym uprzednio pliku konfiguracyjnym firewalla ustawiliśmy logowanie pakietów otwierających
i zamykających połączenia Intranet-Internet (pakiety te oznaczone są odpowiednio jako
MASQUERADE_LOG_SYN i MASQUERADE_LOG_FIN).
May 26 02:30:16 optyk masquerade: Setting masquerade and firewall rules
succeeded
May 26 02:30:51 optyk kernel: MASQUERADE_LOG_SYN IN=eth1 OUT=eth0 [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • agnos.opx.pl
  •