Jan Kończak

Po każdym punkcie należy skutecznie sprawdzić czy reguła działa.
Ćwiczenia należy wykonywać w kolejności, a reguł z poprzednich punktów nie należy usuwać.

1. Zablokuj cały ruch wchodzący. Użyj do tego polityki, nie reguły
2. Dodaj regułę umożliwiającą komunikację w obrębie localhosta
3. Pozwól wchodzić połączeniom już ustanowionym
   Po dodaniu reguły do firewalla, możesz sprawdzić:
      • listę ustanowionych połączeń: conntrack -L
      • monitorować zmiany: conntrack -E
   (program conntrack instaluje się w OpenSUSE komendą zypper install conntrack-tools )
4. Pozwól wchodzić połączeniom SSH
5. Zabroń wchodzenia ruchu SSH z wybranego adresu nie kasując żadnej z powyższych reguł
6. Wyświetl liczniki, sprawdź ile razy reguła z poprzedniego zadania została uruchomiona
7. Zbadaj (używając wiresharka) czym różni się cel DROP od REJECT
8. Sprawdź stan połączenia TCP nawiązywanego do celu który ma ustawiony target DROP
9. Zablokuj ruch wychodzący do wybranej strony.
   Uwaga: iptables pracuje tylko na IPv4. Niektóre strony (np. google, wikipedia, put.poznan.pl) mają też adresy IPv6.
10. Dodaj reguły, które wpuszczą ograniczoną ilość komunikatów ping (moduł limit lub hashlimit)
    Możesz dodać regułę wpuszczającą określoną ilość pingów i regułę odrzucającą pingi, albo regułę odrzucającą nadmiar pingów i wpuszczającą pingi
    Czas pomiędzy komunikatami ping możesz ustawić przełącznikiem i: ping -i <czas_w_sekundach> …, np. ping -i 0.2 …
    Uwaga: conntrack śledzi też wiadomości ping
11. Ogranicz ilość połączeń od każdego adresu IP z osobna (connlimit)
12. Dodaj regułę, która zabroni przekazywania ruchu z br0 do p4p1
13. Dodaj regułę bez akcji, która pozwoli zliczać wysłane komunikaty ping
14. Dodaj regułę z akcją LOG, która pozwoli logować wystąpienia wybranych pakietów (użyj dmesg do wypisania komunikatów z logu systemu)
15. Korzystając z iptables-save zapisz reguły do pliku, następnie wyczyść listę reguł i odtwórz ją z pliku używając iptables-restore