Zadania: iptables

Zadania: iptables
Krzysztof Benedyczak
14 listopada 2006
1
Wprowadzenie
Rozwiązanie zadania polega na przedstawieniu skryptu zawierającego ciąg komend iptables ..., które spowodują skonfigurowanie iptables począwszy z dowolnego ich stanu do stanu takiego jak mówi polecenie. Tzn. nie wolno zakładać że
początkowo iptables są skonfigurowane domyślnie. Alternatywnie można podać
wynik komendy iptables-save.
Przed przedstawieniem rozwiązań wypadałoby je w miarę możliwości przetestować.
Zadania te nie obejmują bardzo użytecznej możliwości maskowania adresów
(SNAT/maskarada), oraz (poza małym wyjątkiem) forwardowania pakietów —
czyli de facto konfiguracji routera.
2
Zadania ogólne dla wszystkich
• Opanować dobrze składnię komendy iptables wyświetlającą aktualny stan
konfiguracji zapory (także z pełnym zestawem informacji).
• Spróbować skonstruować komendę która spowoduje możliwość oglądania w
”czasie rzeczywistym“ ilosci pakietow przechodzących przez poszczególne
elementy łańcuchów.
3
Zestaw 1
• Zapora ma domyślnie blokować wszystkie połączenia do lokalnej maszyny
(bez wysyłania żadnej odpowiedzi).
• Otwarta ma być usługa ICMP ECHO (ping) dla adresów z podsieci lokalnej.
• Otwarty ma być port 922 na którym ma słuchać serwer ssh. Należy zaprezentować że można się z nim połączyć na tym porcie.
• Ruch wychodzący do portu 7777 UDP ma być blokowany.
• Ruch wychodzący ma być w pełni dozwolony (poza wyjątkiem powyżej) i
• należy zapewnić możliwość otrzymywania przez aplikacje działające na
maszynie lokalnej powrotnych pakietów.
1
Ostatnie dwa punkty oznaczają że praca sieciowa wszystkich programów korzystających z sieci i nie otwierających dynamicznie portów w trakcie pracy ma
przebiegać bez przeszkód.
4
Zestaw 2
• Zapora ma domyślnie blokować wszystkie połączenia do lokalnej maszyny.
Domyślne zachowanie dla prób połączeń tcp ma być wysłanie tcp-reset.
• Otwarta ma być usługa ICMP ECHO ale tylko dla komputerów posiadających adres MAC 00:11:22:33:FF:11.
• Otwarty ma być standardowy port ftp.
• Każdy pakiet ICMP inny niż ECHO REQUEST ma byc wpierw logowany
a następnie odrzucany.
• Ruch wychodzący ma być w pełni dozwolony i
• należy zapewnić możliwość otrzymywania przez aplikacje działające na
maszynie lokalnej powrotnych pakietów.
Ostatnie dwa punkty oznaczają że praca sieciowa wszystkich programów korzystających z sieci i nie otwierających dynamicznie portów w trakcie pracy ma
przebiegać bez przeszkód.
2