Jan Kończak

Po każdym punkcie należy skutecznie sprawdzić czy reguła działa.
Ćwiczenia należy wykonywać w kolejności, a reguł z poprzednich punktów nie należy usuwać.

1. Zablokuj cały ruch wchodzący. Użyj do tego polityki, nie reguły
2. Dodaj regułę umożliwiającą komunikację w obrębie localhosta
3. Pozwól wchodzić połączeniom już ustanowionym
   Po dodaniu reguły do firewalla, możesz sprawdzić:
      • listę ustanowionych połączeń: conntrack -L
      • monitorować zmiany: conntrack -E
   (program conntrack instaluje się w OpenSUSE komendą zypper install conntrack-tools )
4. Pozwól wchodzić połączeniom SSH
5. Zabroń wchodzenia ruchu SSH z wybranego adresu nie kasując żadnej z powyższych reguł
6. Wyświetl liczniki, sprawdź ile razy reguła z poprzedniego zadania została uruchomiona
7. Zbadaj (używając wiresharka) czym różni się cel DROP od REJECT
8. Sprawdź stan połączenia TCP nawiązywanego do celu który ma ustawiony target DROP
9. Zablokuj ruch wychodzący do wybranej strony.
   Uwaga: iptables pracuje tylko na IPv4. Niektóre strony (np. google, wikipedia, put.poznan.pl) mają też adresy IPv6.
10. Ogranicz globalną ilość wchodzącego ruchu (limit lub hashlimit)
11. Ogranicz ilość połączeń od każdego adresu IP z osobna (connlimit)
12. Dodaj regułę, która zabroni przekazywania ruchu z br0 do p4p1
13. Dodaj regułę bez akcji, która pozwoli zliczać wymienione komunikaty ping
14. Dodaj regułę z akcją LOG, która pozwoli logować wystąpienia wybranych pakietów (użyj dmesg do wypisania komunikatów z logu systemu)
15. Korzystając z iptables-save zapisz reguły do pliku, następnie wyczyść listę reguł i odtwórz ją z pliku używając iptables-restore