===== Filtracja pakietów w systemie Linux - ćwiczenia =====
Po **każdym** punkcie należy skutecznie sprawdzić czy reguła działa. \\
Ćwiczenia należy wykonywać w kolejności, a reguł z poprzednich punktów nie należy usuwać.
- Zablokuj cały ruch wchodzący. Użyj do tego polityki, nie reguły
- Dodaj regułę umożliwiającą komunikację w obrębie localhosta
- Pozwól wchodzić połączeniom już ustanowionym \\ **Po** dodaniu reguły do firewalla, możesz sprawdzić: \\ • listę ustanowionych połączeń: ''conntrack -L'' \\ • monitorować zmiany: ''conntrack -E'' \\ (program conntrack instaluje się w OpenSUSE komendą ''zypper install conntrack-tools'' )
- Pozwól wchodzić połączeniom SSH
- Zabroń wchodzenia ruchu SSH z wybranego adresu nie kasując żadnej z powyższych reguł
- Wyświetl liczniki, sprawdź ile razy reguła z poprzedniego zadania została uruchomiona
- Zbadaj (używając wiresharka) czym różni się cel ''DROP'' od ''REJECT''
- Sprawdź stan połączenia TCP nawiązywanego do celu który ma ustawiony target ''DROP''
- Zablokuj ruch wychodzący do wybranej strony. \\ Uwaga: iptables pracuje tylko na IPv4. Niektóre strony (np. google, wikipedia, put.poznan.pl) mają też adresy IPv6.
- Dodaj reguły, które wpuszczą ograniczoną ilość komunikatów ping (moduł ''limit'' lub ''hashlimit'') \\ Możesz dodać regułę wpuszczającą określoną ilość pingów i regułę odrzucającą pingi, albo regułę odrzucającą nadmiar pingów i wpuszczającą pingi \\ Czas pomiędzy komunikatami ping możesz ustawić przełącznikiem ''i'': ''ping -i …'', np. ''ping -i 0.2 …'' \\ Uwaga: conntrack śledzi też wiadomości ping
- Ogranicz ilość połączeń od każdego adresu IP z osobna (''connlimit'')
- Dodaj regułę, która zabroni przekazywania ruchu z br0 do p4p1
- Dodaj regułę bez akcji, która pozwoli zliczać wysłane komunikaty ping
- Dodaj regułę z akcją ''LOG'', która pozwoli logować wystąpienia wybranych pakietów (użyj ''dmesg'' do wypisania komunikatów z logu systemu)
- Korzystając z ''iptables-save'' zapisz reguły do pliku, następnie wyczyść listę reguł i odtwórz ją z pliku używając ''iptables-restore''