Różnice między wybraną wersją a wersją aktualną.
Both sides previous revision Poprzednia wersja Nowa wersja | Poprzednia wersja | ||
sk1:nf_fw [2017/05/22 14:46] jkonczak |
sk1:nf_fw [2019/06/02 12:23] (aktualna) jkonczak |
||
---|---|---|---|
Linia 1: | Linia 1: | ||
===== Filtracja pakietów w systemie Linux - ćwiczenia ===== | ===== Filtracja pakietów w systemie Linux - ćwiczenia ===== | ||
- | Po **każdym** punkcie należy skutecznie sprawdzić czy reguła działa. | + | Po **każdym** punkcie należy skutecznie sprawdzić czy reguła działa. \\ |
+ | Ćwiczenia należy wykonywać w kolejności, a reguł z poprzednich punktów nie należy usuwać. | ||
- Zablokuj cały ruch wchodzący. Użyj do tego polityki, nie reguły | - Zablokuj cały ruch wchodzący. Użyj do tego polityki, nie reguły | ||
Linia 12: | Linia 13: | ||
- Sprawdź stan połączenia TCP nawiązywanego do celu który ma ustawiony target ''DROP'' | - Sprawdź stan połączenia TCP nawiązywanego do celu który ma ustawiony target ''DROP'' | ||
- Zablokuj ruch wychodzący do wybranej strony. \\ <html><small></html> Uwaga: iptables pracuje tylko na IPv4. Niektóre strony (np. google, wikipedia, put.poznan.pl) mają też adresy IPv6. <html></small></html> | - Zablokuj ruch wychodzący do wybranej strony. \\ <html><small></html> Uwaga: iptables pracuje tylko na IPv4. Niektóre strony (np. google, wikipedia, put.poznan.pl) mają też adresy IPv6. <html></small></html> | ||
- | - Ogranicz globalną ilość wchodzącego ruchu (''limit'' lub ''hashlimit'') | + | - Dodaj reguły, które wpuszczą ograniczoną ilość komunikatów ping (moduł ''limit'' lub ''hashlimit'') \\ <html><small></html>Możesz dodać regułę wpuszczającą określoną ilość pingów i regułę odrzucającą pingi, albo regułę odrzucającą nadmiar pingów i wpuszczającą pingi \\ Czas pomiędzy komunikatami ping możesz ustawić przełącznikiem ''i'': ''ping -i <czas_w_sekundach> …'', np. ''ping -i 0.2 …'' \\ Uwaga: conntrack śledzi też wiadomości ping<html></small></html> |
- Ogranicz ilość połączeń od każdego adresu IP z osobna (''connlimit'') | - Ogranicz ilość połączeń od każdego adresu IP z osobna (''connlimit'') | ||
- | - Dodaj regułę, która zabroni przekazywania ruchu z em1 do p4p1 | + | - Dodaj regułę, która zabroni przekazywania ruchu z br0 do p4p1 |
- | - Dodaj regułę bez akcji, która pozwoli zliczać wymienione komunikaty ping | + | - Dodaj regułę bez akcji, która pozwoli zliczać wysłane komunikaty ping |
- Dodaj regułę z akcją ''LOG'', która pozwoli logować wystąpienia wybranych pakietów (użyj ''dmesg'' do wypisania komunikatów z logu systemu) | - Dodaj regułę z akcją ''LOG'', która pozwoli logować wystąpienia wybranych pakietów (użyj ''dmesg'' do wypisania komunikatów z logu systemu) | ||
- Korzystając z ''iptables-save'' zapisz reguły do pliku, następnie wyczyść listę reguł i odtwórz ją z pliku używając ''iptables-restore'' | - Korzystając z ''iptables-save'' zapisz reguły do pliku, następnie wyczyść listę reguł i odtwórz ją z pliku używając ''iptables-restore'' |