jakie ustawienia zapory Iptables

[AndrewG]

1

Witam, to praca domowa mojego syna, ucznia technikum. Osobiście zajmuję się Linuxem, aczkolwiek nigdy na poważnie nie zajmowałem się jego administracją. Regułki zapory opracowaliśmy na podstawie książek oraz Internetu. Czy mógłby je ktoś sprawdzić i ewentualnie cokolwiek zasugerować. Jesteśmy z góry wdzięczni za każdą pomoc. Pozdrawiamy!!!
Zadania w załączonych obrazkach:

i 
Nasze opracowanie:

Kod:

#!/bin/bash
# o tym, że jest to sprypt może świadczyć rozszerzenie nazwy pliku skrypt.sh", ścieżka "#!/bin/bash", jak również przyznane prawa chmod +1 "skrypt.sh" - p.1


#deklaracje zmiennych p.2
admin=192.168.1.2
users=192.168.1.3-221
eth0=LAN
eth1=WAN


#USUNIECIE STARYCH REGUŁ I NIESTANDARDOWYCH ŁAŃCUCHÓW -p.3
iptables -F
iptables -t nat -f
iptables -t mangle -f
iptables -X
iptables -t nat -X
iptables -t mangle -X


BLOKUJEMY CALY RUCH SIECIOWY"-p.5
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP



# "Forwarding o maskowanie połączeń "-#4
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
# "udostęnniam ruch na lo"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#maskowanie IP
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE
#w przypadku syałego IP WAN np. 1.2.3.4: iptables -t nat -A POSTROUTING -o $WAN -j SNAT --to_source 1.2.3.4


#reguły zapewniające utrzymanie nawiązanych połaczeń, zezwolenie na ruch wychodzący, wchodzący ograniczony wyłacznie sesji  inicjowanych lokalniw  p. 6

iptables -A INPUT -m state --state RELATED, ESTABILISHED -j ACCEPT
iptables -A FORWARD ii $WAN -o $LAN -m state --state RELATED, ESTABILISHED -j ACCEPT
iptables -A FORWARD ii $LAN -o $WAN -m state --state NEW,RELATED, ESTABILISHED -j ACCEPT

# odrzucenie połączeń niezaiconowanyc z sieci LAN
iptables -A INPUT -P  tcp --syn -j DROP


#"Łączność za pomocą protokołu http" p.7
iptables -A OUTPUT -o $iz -p tcp -s $admin --sport 1024:65535 -d 0/0 --dport 80 -j ACCEPT
iptables -A OUTPUT -o $iz -p tcp -s $users --sport 1024:65535 -d 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -i $iz -p tcp ! --syn -s 0/0 --sport 80 -d $users --dport 1024:65535 -j ACCEPT

[dedito]

1

Odpal sobie ten skrypt na jakiejś maszynie wirtualnej.
Coś mi mówi, że to nie tak miało być

#deklaracje zmiennych p.2
admin=192.168.1.2
users=192.168.1.3-221
eth0=LAN
eth1=WAN

[AndrewG]

0

Faktycznie błąd, powinno być:

Kod:

#deklaracje zmiennych p.2
admin=192.168.1.2
users=192.168.1.3-221
LAN=eth0
WAN=eth1

---

Dodano po pewnym czasie:
trochę przerobiłem, ale nadal moje pytaniejest aktualne.

Kod:

#!/bin/bash
# o tym, że jest to sprypt może świadczyć roższeżenie nazwy pliku skrypt.sh", ścieżka "#!/bin/bash", jak również przyznane prawa chmod +1 "skrypt.sh" - p.1


#deklaracje zmiennych p.2
admin="192.168.1.2"
users="192.168.1.3-221"
LAN=eth0
WAN=eth1



#BLOKUJEMY CALY RUCH SIECIOWY-p.5
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#USUNIECIE STARYCH REGUŁ I NIESTANDARDOWYCH ŁAŃCUCHÓW -p.3
iptables -F
iptables -t nat -f
iptables -t mangle -f
iptables -X
iptables -t nat -X
iptables -t mangle -X

# "Forwarding o maskowanie połączeń "-#4
echo 1 > /proc/sys/net/ipv4/ip_forward
#ptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
# "udostęnniam ruch na lo"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#maskowanie IP
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE


#reguły zapewniające utrzymanie nawiązanych połaczeń, zezwolenie na ruch wychodzący, wchodzący ograniczony wyłacznie sesji  inicjowanych lokalniw  p. 6

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABILISHED -j ACCEPT
iptables -A FORWARD -i $WAN -o $LAN -m conntrack --ctstate RELATED,ESTABILISHED -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -m conntrack --ctstate NEW, RELATED, ESTABILISHED -j ACCEPT

# odrzucenie połączeń niezaiconowanychz sieci LAN
iptables -A INPUT -p tcp --syn -j DROP

#umożliwienie dostępu administratorowi do SSH
iptables -A INPUT -o $LAN -p tcp -s $admin --dport ssh -j ACCEPT
iptables -A INPUT -o $LAN -p tcp -s $users --dport ssh -j REJECT

[dedito]

0

Już jest lepiej, ale dalej błędy.
Dlaczego tak?

iptables -P OUTPUT ACCEPT

Błąd

#ptables -P FORWARD ACCEPT

To poniżej niezgodne z punktem 6:

#reguły zapewniające utrzymanie nawiązanych połaczeń, zezwolenie na ruch wychodzący, wchodzący ograniczony wyłacznie sesji  inicjowanych lokalniw  p. 6
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABILISHED -j ACCEPT

To poniżej niezgodne z komentarzem i w ogóle po co skoro ten ruch i tak jest domyślnie zablokowany:

# odrzucenie połączeń niezaiconowanychz sieci LAN
iptables -A INPUT -p tcp --syn -j DROP

I wciąż brakuje regułek dostępu dla WWW (tzn. były ale "się zmyły" ).

A gdzie w treści zadania lub na obrazku jest poniższe wymaganie?:

#umożliwienie dostępu administratorowi do SSH
iptables -A INPUT -o $LAN -p tcp -s $admin --dport ssh -j ACCEPT
iptables -A INPUT -o $LAN -p tcp -s $users --dport ssh -j REJECT

Analizując treść zadania:
1. Jeśli chodzi o politykę dostępu do www z Ubuntu serwer to ten rysunek sugeruje coś innego, niż jak mi się wydaje co autor miał na myśli, mianowicie te najniżej położone strzałki nie powinny być w strefie innych użytkowników tylko raczej powyżej w strefie serwera.
2. Jeśli przez zdanie "Bloki w skrypcie mają występować w zadanej kolejności" mam rozumieć realizację punkt po punkcie wg treści zadania to jest to wpajanie złych nawyków, bo najpierw powinno się "postawić ścianę" (czytaj zablokować wszystko), a potem "wiercić dziurki" (czytaj zezwalać na ruch zgodnie z treścią zadania).