Zadania: iptables
Transkrypt
Zadania: iptables
Zadania: iptables Krzysztof Benedyczak 14 listopada 2006 1 Wprowadzenie Rozwiązanie zadania polega na przedstawieniu skryptu zawierającego ciąg komend iptables ..., które spowodują skonfigurowanie iptables począwszy z dowolnego ich stanu do stanu takiego jak mówi polecenie. Tzn. nie wolno zakładać że początkowo iptables są skonfigurowane domyślnie. Alternatywnie można podać wynik komendy iptables-save. Przed przedstawieniem rozwiązań wypadałoby je w miarę możliwości przetestować. Zadania te nie obejmują bardzo użytecznej możliwości maskowania adresów (SNAT/maskarada), oraz (poza małym wyjątkiem) forwardowania pakietów — czyli de facto konfiguracji routera. 2 Zadania ogólne dla wszystkich • Opanować dobrze składnię komendy iptables wyświetlającą aktualny stan konfiguracji zapory (także z pełnym zestawem informacji). • Spróbować skonstruować komendę która spowoduje możliwość oglądania w ”czasie rzeczywistym“ ilosci pakietow przechodzących przez poszczególne elementy łańcuchów. 3 Zestaw 1 • Zapora ma domyślnie blokować wszystkie połączenia do lokalnej maszyny (bez wysyłania żadnej odpowiedzi). • Otwarta ma być usługa ICMP ECHO (ping) dla adresów z podsieci lokalnej. • Otwarty ma być port 922 na którym ma słuchać serwer ssh. Należy zaprezentować że można się z nim połączyć na tym porcie. • Ruch wychodzący do portu 7777 UDP ma być blokowany. • Ruch wychodzący ma być w pełni dozwolony (poza wyjątkiem powyżej) i • należy zapewnić możliwość otrzymywania przez aplikacje działające na maszynie lokalnej powrotnych pakietów. 1 Ostatnie dwa punkty oznaczają że praca sieciowa wszystkich programów korzystających z sieci i nie otwierających dynamicznie portów w trakcie pracy ma przebiegać bez przeszkód. 4 Zestaw 2 • Zapora ma domyślnie blokować wszystkie połączenia do lokalnej maszyny. Domyślne zachowanie dla prób połączeń tcp ma być wysłanie tcp-reset. • Otwarta ma być usługa ICMP ECHO ale tylko dla komputerów posiadających adres MAC 00:11:22:33:FF:11. • Otwarty ma być standardowy port ftp. • Każdy pakiet ICMP inny niż ECHO REQUEST ma byc wpierw logowany a następnie odrzucany. • Ruch wychodzący ma być w pełni dozwolony i • należy zapewnić możliwość otrzymywania przez aplikacje działające na maszynie lokalnej powrotnych pakietów. Ostatnie dwa punkty oznaczają że praca sieciowa wszystkich programów korzystających z sieci i nie otwierających dynamicznie portów w trakcie pracy ma przebiegać bez przeszkód. 2