Narzędzia użytkownika
sk1:nf_fw
Różnice
Różnice między wybraną wersją a wersją aktualną.
| Both sides previous revision Poprzednia wersja Nowa wersja | Poprzednia wersja | ||
|
sk1:nf_fw [2016/05/17 09:43] jkonczak |
sk1:nf_fw [2019/06/02 12:23] (aktualna) jkonczak |
||
|---|---|---|---|
| Linia 1: | Linia 1: | ||
| ===== Filtracja pakietów w systemie Linux - ćwiczenia ===== | ===== Filtracja pakietów w systemie Linux - ćwiczenia ===== | ||
| - | Po **każdym** punkcie należy skutecznie sprawdzić czy reguła działa. | + | Po **każdym** punkcie należy skutecznie sprawdzić czy reguła działa. \\ |
| + | Ćwiczenia należy wykonywać w kolejności, a reguł z poprzednich punktów nie należy usuwać. | ||
| - Zablokuj cały ruch wchodzący. Użyj do tego polityki, nie reguły | - Zablokuj cały ruch wchodzący. Użyj do tego polityki, nie reguły | ||
| - Dodaj regułę umożliwiającą komunikację w obrębie localhosta | - Dodaj regułę umożliwiającą komunikację w obrębie localhosta | ||
| - | - Pozwól wchodzić połączeniom już ustanowionym \\ <html><small></html>Lista ustanowionych połączeń: ''conntrack -L'' \\ Monitorowanie zmian conntracka: ''conntrack -E'' \\ (program conntrack instaluje się w OpenSUSE komendą ''zypper install conntrack-tools'' )<html></small></html> | + | - Pozwól wchodzić połączeniom już ustanowionym \\ <html><small></html> **Po** dodaniu reguły do firewalla, możesz sprawdzić: \\ • listę ustanowionych połączeń: ''conntrack -L'' \\ • monitorować zmiany: ''conntrack -E'' \\ (program conntrack instaluje się w OpenSUSE komendą ''zypper install conntrack-tools'' )<html></small></html> |
| - Pozwól wchodzić połączeniom SSH | - Pozwól wchodzić połączeniom SSH | ||
| - Zabroń wchodzenia ruchu SSH z wybranego adresu nie kasując żadnej z powyższych reguł | - Zabroń wchodzenia ruchu SSH z wybranego adresu nie kasując żadnej z powyższych reguł | ||
| Linia 11: | Linia 12: | ||
| - Zbadaj (używając wiresharka) czym różni się cel ''DROP'' od ''REJECT'' | - Zbadaj (używając wiresharka) czym różni się cel ''DROP'' od ''REJECT'' | ||
| - Sprawdź stan połączenia TCP nawiązywanego do celu który ma ustawiony target ''DROP'' | - Sprawdź stan połączenia TCP nawiązywanego do celu który ma ustawiony target ''DROP'' | ||
| - | - Zablokuj ruch wychodzący do wybranej strony. Uwaga: iptables pracuje tylko na IPv4. Niektóre strony (np. google.pl) mają też adresy IPv6. | + | - Zablokuj ruch wychodzący do wybranej strony. \\ <html><small></html> Uwaga: iptables pracuje tylko na IPv4. Niektóre strony (np. google, wikipedia, put.poznan.pl) mają też adresy IPv6. <html></small></html> |
| - | - Ogranicz globalną ilość wchodzącego ruchu (''limit'') | + | - Dodaj reguły, które wpuszczą ograniczoną ilość komunikatów ping (moduł ''limit'' lub ''hashlimit'') \\ <html><small></html>Możesz dodać regułę wpuszczającą określoną ilość pingów i regułę odrzucającą pingi, albo regułę odrzucającą nadmiar pingów i wpuszczającą pingi \\ Czas pomiędzy komunikatami ping możesz ustawić przełącznikiem ''i'': ''ping -i <czas_w_sekundach> …'', np. ''ping -i 0.2 …'' \\ Uwaga: conntrack śledzi też wiadomości ping<html></small></html> |
| - Ogranicz ilość połączeń od każdego adresu IP z osobna (''connlimit'') | - Ogranicz ilość połączeń od każdego adresu IP z osobna (''connlimit'') | ||
| - | - Dodaj regułę, która zabroni przekazywania ruchu z em1 do p4p1 | + | - Dodaj regułę, która zabroni przekazywania ruchu z br0 do p4p1 |
| - | - Dodaj regułę bez akcji, która pozwoli zliczać wymienione komunikaty ping | + | - Dodaj regułę bez akcji, która pozwoli zliczać wysłane komunikaty ping |
| - Dodaj regułę z akcją ''LOG'', która pozwoli logować wystąpienia wybranych pakietów (użyj ''dmesg'' do wypisania komunikatów z logu systemu) | - Dodaj regułę z akcją ''LOG'', która pozwoli logować wystąpienia wybranych pakietów (użyj ''dmesg'' do wypisania komunikatów z logu systemu) | ||
| - Korzystając z ''iptables-save'' zapisz reguły do pliku, następnie wyczyść listę reguł i odtwórz ją z pliku używając ''iptables-restore'' | - Korzystając z ''iptables-save'' zapisz reguły do pliku, następnie wyczyść listę reguł i odtwórz ją z pliku używając ''iptables-restore'' | ||
sk1/nf_fw.1463470983.txt.gz · ostatnio zmienione: 2016/05/17 09:43 przez jkonczak
Narzędzia strony
Wszystkie treści w tym wiki, którym nie przyporządkowano licencji, podlegają licencji: Creative Commons Attribution-ShareAlike 4.0 International License
