Create new thread
gnato
Show profile
Link to this post
Subject: Prośba o sprawdzenie iptables
Witam, mam za dni parę kolokwium z firewalla, chciałem sobie poćwiczyć i tak znalazłem test i na poniższe pytania starałem się jakoś odpowiedzieć.
Czy mógłby ktoś miły sprawdzić czy mam to dobrze i ew. uzupełnić brakujące zadania ? (do których pomysłu nie mam już żadnego
)
1. zapisz polecenie, które zapewni przekazywanie pakietów (niezbędne do pełnienia funkcji routera) na komputerze z firewallem.
iptables -P FORWARD ALLOW
2. utwórz regułę zezwalającą na komunikację z serwerami DNS o nazwach 'dns.tpsa.pl' i ‘dns2.tpsa.pl’.
iptables –A INPUT –s dns –p udp --sport 53 –j ACCEPT
iptables –A OUTPUT –d dns –p udp --dport 53 –j ACCEPT
iptables –A INPUT –s dns.tpsa.pl –p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -d dns2.tpsa.pl -p tcp --dport 80 -j ACCEPT
3. utwórz własny łańcuch, o nazwie „logi", który będzie odpowiedzialny za logowanie pakietów z prefiksem „niedozwolony ruch", z limitem 10 pakietów na godzinę.
4. utwórz regułę zezwalającą na dostęp do uruchomionego na komputerze z firewallem serwera ftp. Połączenia nowe, przychodzące przez odpowiedni interfejs.
iptables –A OUTPUT –p tcp --dport 20:21 -j ACCEPT
iptables –A INPUT –p tcp --sport 20:21 –j ACCEPT
5. utwórz regułę kasującą trzecią regułę w łańcuchu OUTPUT.
iptables –D OUTPUT 3
6. zezwól na dostęp do komputera z firewallem za pomocą protokołu SSH z sieci lokalnej.
iptables –A OUTPUT –d 213.227.9.3/24 –p tcp --dport 22 -j ACCEPT
iptables –A INPUT –s 213.227.9.3/24 –p tcp --sport 22 –j ACCEPT
7. utwórz regułę zezwalającą na pełen ruch na interfejsie pętli zwrotnej.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
8. utwórz regułę blokującą dostęp do serwera proxy WWW uruchomionego na serwerze o nazwie 'xxx’.
iptables –A OUTPUT –d w3cache.ae.katowice.pl –p tcp --dport 3128, 8080 -j DROP
9. utwórz regułę, która zapewni możliwość zsynchronizowania czasu z komputerem o nazwie 'clock.redhat.com' - komenda ntpdate ... (protokół ntp)
10. zapewnij możliwość pingowania komputera z firewallem z komputerów sieci lokalnej,
iptables –A OUTPUT –d 213.227.9.3/24 –p icmp -type echo -request -j ACCEPT
iptables –A INPUT –s 213.227.9.3/24 –p icmp -type echo -reply –j ACCEPT
11. sprawdź adres sieci uczelnianej i za pomocą odpowiedniej reguły zapewnij możliwość nawiązywania nowych połączeń z tej sieci, połączeń już nawiązanych i powiązanych z już istniejącymi, do uruchomionego na komputerze z firewallem serwera WWW.
ifconfig
iptables -A INPUT -i 213.227.9.3/24 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT
12. ustaw polityki domyślne dla łańcuchów na taką, która pozwoli odrzucić pakiety, którym nie zezwalamy na przejście przez firewall.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
13. wyczyść reguły w łańcuchach. I usuń puste łańcuchy.
iptables -F INPUT
itpables -F OUTPUT
14. poprawne określenie kolejności reguł
Czy mógłby ktoś miły sprawdzić czy mam to dobrze i ew. uzupełnić brakujące zadania ? (do których pomysłu nie mam już żadnego
)1. zapisz polecenie, które zapewni przekazywanie pakietów (niezbędne do pełnienia funkcji routera) na komputerze z firewallem.
iptables -P FORWARD ALLOW
2. utwórz regułę zezwalającą na komunikację z serwerami DNS o nazwach 'dns.tpsa.pl' i ‘dns2.tpsa.pl’.
iptables –A INPUT –s dns –p udp --sport 53 –j ACCEPT
iptables –A OUTPUT –d dns –p udp --dport 53 –j ACCEPT
iptables –A INPUT –s dns.tpsa.pl –p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -d dns2.tpsa.pl -p tcp --dport 80 -j ACCEPT
3. utwórz własny łańcuch, o nazwie „logi", który będzie odpowiedzialny za logowanie pakietów z prefiksem „niedozwolony ruch", z limitem 10 pakietów na godzinę.
4. utwórz regułę zezwalającą na dostęp do uruchomionego na komputerze z firewallem serwera ftp. Połączenia nowe, przychodzące przez odpowiedni interfejs.
iptables –A OUTPUT –p tcp --dport 20:21 -j ACCEPT
iptables –A INPUT –p tcp --sport 20:21 –j ACCEPT
5. utwórz regułę kasującą trzecią regułę w łańcuchu OUTPUT.
iptables –D OUTPUT 3
6. zezwól na dostęp do komputera z firewallem za pomocą protokołu SSH z sieci lokalnej.
iptables –A OUTPUT –d 213.227.9.3/24 –p tcp --dport 22 -j ACCEPT
iptables –A INPUT –s 213.227.9.3/24 –p tcp --sport 22 –j ACCEPT
7. utwórz regułę zezwalającą na pełen ruch na interfejsie pętli zwrotnej.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
8. utwórz regułę blokującą dostęp do serwera proxy WWW uruchomionego na serwerze o nazwie 'xxx’.
iptables –A OUTPUT –d w3cache.ae.katowice.pl –p tcp --dport 3128, 8080 -j DROP
9. utwórz regułę, która zapewni możliwość zsynchronizowania czasu z komputerem o nazwie 'clock.redhat.com' - komenda ntpdate ... (protokół ntp)
10. zapewnij możliwość pingowania komputera z firewallem z komputerów sieci lokalnej,
iptables –A OUTPUT –d 213.227.9.3/24 –p icmp -type echo -request -j ACCEPT
iptables –A INPUT –s 213.227.9.3/24 –p icmp -type echo -reply –j ACCEPT
11. sprawdź adres sieci uczelnianej i za pomocą odpowiedniej reguły zapewnij możliwość nawiązywania nowych połączeń z tej sieci, połączeń już nawiązanych i powiązanych z już istniejącymi, do uruchomionego na komputerze z firewallem serwera WWW.
ifconfig
iptables -A INPUT -i 213.227.9.3/24 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT
12. ustaw polityki domyślne dla łańcuchów na taką, która pozwoli odrzucić pakiety, którym nie zezwalamy na przejście przez firewall.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
13. wyczyść reguły w łańcuchach. I usuń puste łańcuchy.
iptables -F INPUT
itpables -F OUTPUT
14. poprawne określenie kolejności reguł