Wykład 6
Transkrypt
Wykład 6
Zdalna praca w sieci Usługi Bezpieczeństwo Podstawy administracji systemu Linux Sieci komputerowe/Bezpieczeństwo Janusz Szwabiński Instytut Fizyki Teoretycznej UWr 22 stycznia 2006 Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Plan kursu 1 Instalacja Linuksa 2 Tryb tekstowy 3 Linux od podszewki 4 Pierwsze kroki w administracji 5 Sieci lokalne 6 Bezpieczeństwo Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Sieci komputerowe/Bezpieczeństwo 1 Zdalna praca w sieci Logowanie Kopiowanie plików 2 Usługi DHCP 3 Bezpieczeństwo Zbędne usługi Zapora ogniowa Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Logowanie Kopiowanie plików Zdalna praca w sieci http://www.flexibility.co.uk/ Logowanie na komputer w sieci (SSH) Kopiowanie plików między komputerami (SFTP/SCP) VNC Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Logowanie Kopiowanie plików Logowanie na odległy komputer praca tylko w trybie tekstowym ssh użytkownik@adres_komputera s s h −l u ż y t k o w n i k a d r e s _ k o m p u t e r a jeśli planujemy uruchamiać programy w trybie graficznym s s h −X u ż y t k o w n i k @ a d r e s _ k o m p u t e r a szybkie uruchamianie poleceń ssh użytkownik@adres_komputera " p o l e c e n i e " Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Logowanie Kopiowanie plików pierwsze logowanie [ szwabin@voyag er ~ ] $ s s h szwabin@panoramix . i f t . u n i . wroc . p l The a u t h e n t i c i t y o f h o s t ’ p a n o r a m i x . i f t . u n i . w r o c . p l ( 1 5 6 . 1 7 . 8 8 . 9 1 ) ’ can ’ t be e s t a b l i s h e d . RSA k e y f i n g e r p r i n t i s f c : 5 6 : b1 : 9 7 : 0 a : 4 4 : f 2 : 2 3 : e e : 6 a : 9 8 : c c : 1 4 : e 3 : b5 : 2 4 . A r e you s u r e you want t o c o n t i n u e c o n n e c t i n g ( y e s / no ) ? szwabin@panoramix . i f t . u n i . wroc . pl ’ s password : L a s t l o g i n : Sep 20 2 0 : 4 4 : 5 3 2005 f r o m v o y a g e r . i f t . u n i . w r o c . p l s z w a b i n @ p a n o r a m i x :~ > koniec pracy s z w a b i n @ p a n o r a m i x :~ > e x i t logout Connection to panoramix c l o s e d . [ szwabin@voyager ~] $ szybkie uruchamianie poleceń raz jeszcze [ s z w a b i n @ v o y a g e r ~ ] $ s s h p a n o r a m i x " uname −a " szwabin@panoramix ’ s password : L i n u x p a n o r a m i x 2 . 4 . 3 0 #1 F r i Apr 15 1 3 : 1 2 : 1 6 CEST 2005 i 6 8 6 unknown unknown GNU/ L i n u x [ szwabin@voyager ~] $ Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Logowanie Kopiowanie plików Konfiguracja serwera SSH (/etc/sshd_conf) pozwalamy na wysyłanie okien aplikacji pracujących w GUI X11Forwarding yes uruchamiamy ponownie serwer [ r o o t @ v o y a g e r ~]# s e r v i c e s s h d restart [ r o o t @ v o y a g e r ~]# / e t c / r c . d / i n i t . d / s s h d Janusz Szwabiński restart Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Logowanie Kopiowanie plików Kopiowanie plików (SFTP) łączenie z odległym komputerem [ szwabin@voyager ~] $ s f t p szwabin@panoramix Connecting to panoramix . . . szwabin@panoramix ’ s password : sftp > pomoc sftp > help A v a i l a b l e commands : cd p a t h l c d path chgrp grp path chmod mode p a t h chown own p a t h help g e t r e m o t e−p a t h [ l o c a l −p a t h ] l l s [ l s −o p t i o n s [ p a t h ] ] l n o l d p a t h newpath lmkdir path lpwd l s [ path ] . . . Change r e m o t e d i r e c t o r y t o ’ p a t h ’ Change l o c a l d i r e c t o r y t o ’ p a t h ’ Change g r o u p o f f i l e ’ p a t h ’ t o ’ g r p ’ Change p e r m i s s i o n s o f f i l e ’ p a t h ’ t o Change o w n e r o f f i l e ’ p a t h ’ t o ’ own ’ Display t h is help text Download f i l e Display local directory l i s t i n g Symlink remote f i l e Create lo ca l dir ect or y P r i n t l o c a l working d i r e c t o r y D i s p l a y remote d i r e c t o r y l i s t i n g Janusz Szwabiński Technologie Informatyczne od Podstaw ’ mode ’ Zdalna praca w sieci Usługi Bezpieczeństwo Logowanie Kopiowanie plików nawigacja w zdalnym systemie plików pwd, cd, ls nawigacja w lokalnym systemie plików lpwd, lcd, lls kopiowanie plików na komputer lokalny. . . sftp > get ta lk . tar F e t c h i n g / home/ s / s z w a b i n / t a l k . t a r t o t a l k . t a r /home/ s / s z w a b i n / t a l k . t a r 100% 150KB 1 5 0 . 0 KB/ s 00:00 . . . i w odwrotnym kierunku s f t p > p u t beamer . p d f U p l o a d i n g beamer . p d f t o /home/ s / s z w a b i n / beamer . p d f beamer . p d f 100% 1621KB 1 . 6MB/ s sftp > Janusz Szwabiński 00:00 Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Logowanie Kopiowanie plików Kopiowanie plików (SCP) z odległego komputera scp użytkownik@komputer : / ś c i e ż k a _ d o _ p l i k u / p l i k / l o k a l n a _ ś c i e ż k a _ d o _ p l i k u / [ s z w a b i n @ v o y a g e r ~ ] $ s c p s z w a b i n @ p a n o r a m i x : beamer . p d f . szwabin@panoramix ’ s password : beamer . p d f 100% 1621KB 1 . 6MB/ s [ szwabin@voyager ~] $ 00:00 jeśli konta użytkowników są te same [ szwabin@voyager ~ ] $ s c p p a n o r a m i x : beamer . p d f . katalogi [ szwabin@voyager ~ ] $ s c p −r K u r s y / d e f i a n t : UniWroclaw / Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo DHCP Usługi http://cocktails.about.com/ DHCP WWW FTP Samba . . . i wiele innych Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo DHCP DHCP Kategoria Serwery sieciowe http://www.iodata.jp/ automatyczna konfiguracja komputerów podłączanych do sieci oszczędza dużo czasu administratorowi wygodne dla nowych użytkowników Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo DHCP Konfiguracja serwera edytujemy (lub tworzymy) plik /etc/dhcpd.conf d e f a u l t −l e a s e −t i m e 3 6 0 0 ; max−l e a s e −t i m e 1 4 4 0 0 ; ddns−u p d a t e−s t y l e none ; s u b n e t 1 9 2 . 1 6 8 . 0 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 { range 1 9 2 . 1 6 8 . 0 . 2 1 9 2 . 1 6 8 . 0 . 1 0 ; o p t i o n domain−name−s e r v e r s 1 9 4 . 2 0 4 . 1 5 2 . 3 4 , 2 1 7 . 9 8 . 6 3 . 1 6 4 ; o p t i o n b r o a d c a s t−a d d r e s s 1 9 2 . 1 6 8 . 0 . 2 5 5 ; option routers 192.168.0.1; } ponowne uruchomienie serwera [ r o o t @ v o y a g e r ~]# s e r v i c e dhcpd r e s t a r t [ r o o t @ v o y a g e r ~]# / e t c / r c . d / i n i t . d / dhcpd r e s t a r t Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo DHCP Konfiguracja klienta podczas instalacji systemu Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo DHCP podczas konfiguracji karty sieciowej Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa Bezpieczeństwo fizyczne lokalne sieciowe http://www.bbc.co.uk/schools/ Do poczytania Kevin Fenzi, Dave Wreski, Linux Security HOWTO www.happyhacker.org Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa Bezpieczeństwo fizyczne kontrola dostępu do komputera hasła w BIOSie hasła w programie rozruchowym Uwaga! Osoba mająca fizyczny dostęp do komputera może „obejść” oba hasła, jednak zajmie to trochę czasu. Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa Bezpieczeństwo lokalne usuwanie nieaktywnych kont ograniczony dostęp do zasobów dla zwykłych użytkowników (SUID/GUID, restrykcyjne prawa dostępu, ograniczenia na liczbę uruchamianych procesów itp.) sprawdzanie integralności systemu (Tripwire) szyfrowanie haseł (shadow) testowanie jakości haseł użytkowników (Crack, „John The Ripper”) kopie zapasowe Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa Bezpieczeństwo sieciowe uruchamianie tylko niezbędnych usług SSH zamiast Telnetu SCP/SFTP zamiast FTP Zapora ogniowa systemy detekcji włamań (Snort) łaty bezpieczeństwa Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa Zbędne usługi przydatne polecenia netstat nmap ważne pliki /etc/services /etc/inetd.conf lub /etc/xinetd.conf Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa netstat [ s z w a b i n @ v o y a g e r ~ ] $ n e t s t a t −a A c t i v e I n t e r n e t c o n n e c t i o n s ( s e r v e r s and e s t a b l i s h e d ) P r o t o Recv−Q Send−Q L o c a l A d d r e s s Foreign Address tcp 0 0 lo calh os t :966 ∗:∗ tcp 0 0 ∗:1550 ∗:∗ tcp 0 0 ∗:19150 ∗:∗ tcp 0 0 ∗: sunrpc ∗:∗ tcp 0 0 ∗ :www ∗:∗ tcp 0 0 ∗: ssh ∗:∗ tcp 0 0 ∗: ipp ∗:∗ tcp 0 0 l o c a l h o s t : smtp ∗:∗ tcp 0 0 v o y a g e r . i f t . u n i . w: 3 2 7 8 4 j a b b e r p l . o r g : 5 2 2 3 tcp 1 0 v o y a g e r . i f t . u n i . w: 3 2 8 6 6 b i o f i z y k a . a g r o . a r . s : www tcp 0 0 v o y a g e r . i f t . u n i . w: 3 2 8 6 5 d n s 1 . i b h . p l : www udp 0 0 ∗:32768 ∗:∗ udp 0 0 ∗ : xdmcp ∗:∗ udp 0 0 ∗: sunrpc ∗:∗ udp 0 0 ∗: ipp ∗:∗ A c t i v e UNIX domain s o c k e t s ( s e r v e r s and e s t a b l i s h e d ) . . . Janusz Szwabiński State LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN ESTABLISHED CLOSE_WAIT CLOSE_WAIT Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa nmap e n t e r p r i s e : / home/ s z w a b i n# nmap v o y a g e r S t a r t i n g nmap 3 . 8 1 ( h t t p : / /www . i n s e c u r e . o r g /nmap / ) a t 2005−09−21 1 6 : 5 8 CEST I n t e r e s t i n g p o r t s on v o y a g e r . i f t . u n i . w r o c . p l ( 1 5 6 . 1 7 . 8 8 . 1 9 0 ) : ( The 1662 p o r t s s c a n n e d b u t n o t shown b e l o w a r e i n s t a t e : f i l t e r e d ) PORT STATE SERVICE 22/ t c p open ssh Nmap f i n i s h e d : 1 I P a d d r e s s ( 1 h o s t up ) s c a n n e d i n 2 2 . 3 3 0 s e c o n d s Uwaga! Skanujemy tylko te komputery, które rzeczywiście musimy. Użycie nmap może być odebrane jako wstęp do ataku. Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa /etc/services/ tcpmux echo echo discard discard systat daytime daytime netstat qotd msp msp chargen chargen f t p−d a t a ftp fsp ssh ssh telnet smtp time time rlp nameserver whois . . . 1/ t c p 7/ t c p 7/ udp 9/ t c p 9/ udp 11/ t c p 13/ t c p 13/ udp 15/ t c p 17/ t c p 18/ t c p 18/ udp 19/ t c p 19/ udp 20/ t c p 21/ t c p 21/ udp 22/ t c p 22/ udp 23/ t c p 25/ t c p 37/ t c p 37/ udp 39/ udp 42/ t c p 43/ t c p # TCP p o r t service multiplexer sink null sink null users quote # message send p r o t o c o l t t y t s t source t t y t s t source fspd # SSH Remote L o g i n P r o t o c o l mail timserver timserver resource name nicname Janusz Szwabiński # resource # IEN 116 location Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa Zapora ogniowa sprzęt komputerowy ze specjalnym oprogramowaniem lub samo oprogramowanie blokujące niepowołany dostęp do komputera, sieci komputerowej itp. http://scramlings.de/johannes/lip/vortrag/ Do poczytania http://mr0vka.eu.org/docs/tlumaczenia.html Paweł Krawczyk, Filtrowanie stateful-inspection w Linuksie i BSD Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa Budujemy własną zaporę (wersja dla początkujących) ściągamy z Internetu program Firestarter (w przypadku Auroksa 10.2 pobieramy wersję dla Fedory Core 2) http://www.fs-security.com/ instalujemy pakiet (jako administrator) [ r o o t @ v o y a g e r d o w n l o a d s ]# rpm −Uvh f i r e s t a r t e r −1.0.3 −1. i 3 8 6 . rpm Przygotowywanie . . . ######################### [ 1 0 0 % ] 1: f i r e s t a r t e r ######################### [ 1 0 0 % ] uruchamiamy program z menu KDE lub w powłoce administratora [ r o o t @ v o y a g e r d o w n l o a d s ]# f i r e s t a r t e r & Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Janusz Szwabiński Zbędne usługi Zapora ogniowa Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Janusz Szwabiński Zbędne usługi Zapora ogniowa Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Janusz Szwabiński Zbędne usługi Zapora ogniowa Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Janusz Szwabiński Zbędne usługi Zapora ogniowa Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Janusz Szwabiński Zbędne usługi Zapora ogniowa Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Janusz Szwabiński Zbędne usługi Zapora ogniowa Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Janusz Szwabiński Zbędne usługi Zapora ogniowa Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Janusz Szwabiński Zbędne usługi Zapora ogniowa Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa Budujemy własną zaporę (wersja dla zaawansowanych) Netfilter/iptables wbudowane w jądro Linuksa (2.4.x i 2.6.x) funkcje do filtrowania pakietów i NAT-u oraz program do zarządzania nimi Łańcuchy INPUT, OUTPUT, FORWARD PREROUTING, POSTROUTING użytkownika reguła - zasada postępowania z pakietami łańcuch - zbiór reguł ułożonych w określonej kolejności tablica - zbiór łańcuchów Janusz Szwabiński Tablice filter nat mangle Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo PREROUTING Decyzja rutingu Zbędne usługi Zapora ogniowa POSTROUTING FORWARD filter mangle nat nat OUTPUT INPUT filter Procesy mangle nat filter lokalne Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa otwieramy w edytorze nowy plik tekstowy, np. myfirewall #!/ b i n / s h # # # # # # # p r z y k ł a d o w a k o n f i g u r a c j a i p t a b l e s d l a b r a m k i ( i n t e r f e j s y ppp0 i e t h 0 ) na p o d s t a w i e " F i l t r o w a n i e s t a t e f u l −i n s p e c t i o n w L i n u k s i e i BSD" Pawła K r a w c z y k a Opcje wywołania : stop − " zatrzymuje " f i rew a l l , ustawia otwartą p olity kę t e s t − tymczasowe r e g u ł y bez o p c j i − k o n f i g u r u j e i p t a b l e s wyłączamy zaporę if [ " $1 " = " s t o p " ] ; / sbin / iptables / sbin / iptables / sbin / iptables / sbin / iptables exit 0 then −P INPUT ACCEPT −P OUTPUT ACCEPT −P FORWARD ACCEPT −F fi Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa testujemy zaporę (włączenie na 60s) if [ " $1 " = " t e s t " ] ; t h e n ( s l e e p 6 0 ; / s b i n / i p t a b l e s −P INPUT ACCEPT ; \ / s b i n / i p t a b l e s −P OUTPUT ACCEPT ; \ / s b i n / i p t a b l e s −P FORWARD ACCEPT ; \ / s b i n / i p t a b l e s −F ) & fi ukłon w stronę użytkownika e c h o −n " I n s t a l o w a n i e z a p o r y o g n i o w e j . . . " ładujemy niezbędne moduły jądra / s b i n / modprobe i p _ t a b l e s / s b i n / modprobe i p _ c o n n t r a c k Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa czyścimy stare ustawienia / s b i n / i p t a b l e s −F / s b i n / i p t a b l e s −F −t n a t domyślna polityka (wszystko odrzucane) / s b i n / i p t a b l e s −P INPUT DROP / s b i n / i p t a b l e s −P FORWARD DROP / s b i n / i p t a b l e s −P OUTPUT DROP interfejs lokalny jest uprzywilejowany / s b i n / i p t a b l e s −A INPUT − i l o −j ACCEPT / s b i n / i p t a b l e s −A OUTPUT −o l o −j ACCEPT / s b i n / i p t a b l e s −A FORWARD −o l o −j ACCEPT Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa sieć lokalna również ma specjalne prawa / s b i n / i p t a b l e s −A INPUT − i e t h 0 −j ACCEPT / s b i n / i p t a b l e s −A OUTPUT −o e t h 0 −j ACCEPT akceptujemy pakiety ICMP Echo (ping) / s b i n / i p t a b l e s −A INPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT / s b i n / i p t a b l e s −A FORWARD −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT / s b i n / i p t a b l e s −A OUTPUT −p icmp −−icmp−t y p e echo−r e q u e s t −j ACCEPT Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa wpuszczamy połączenia SSH z całej sieci / s b i n / i p t a b l e s −A INPUT −p t c p −d 0/0 −−d p o r t 22 −j ACCEPT zezwalamy na wszystko w ramach istniejących połączeń / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables / sbin/ iptables −A −A −A −A −A −A −A −A −A −A −A −A −A −A INPUT −p t c p −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED INPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED INPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED FORWARD −p t c p −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED FORWARD −p t c p −j ACCEPT −m s t a t e −−s t a t e RELATED FORWARD −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED FORWARD −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED OUTPUT −p t c p −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED OUTPUT −p t c p −j ACCEPT −m s t a t e −−s t a t e RELATED OUTPUT −p udp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e ESTABLISHED OUTPUT −p icmp −j ACCEPT −m s t a t e −−s t a t e RELATED Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa usługi TCP i UDP , które wypuszczamy z sieci: WWW (80,8080), SSH (22), SMTP (25), POP3/POP3s (110, 995), News (119), DNS (53), Gadu-Gadu (443), Jabber (5223,8010), Skype (28025) TCP_OUT_ALLOW= 8 0 , 8 0 8 0 , 2 2 , 2 5 , 1 1 0 , 9 9 5 , 1 1 9 , 5 3 , 4 4 3 , 5 2 2 3 , 8 0 1 0 , 9 1 0 0 , 2 8 0 2 5 UDP_OUT_ALLOW=53 / s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p t c p −j ACCEPT −m s t a t e −−s t a t e NEW \ −m m u l t i p o r t −−d e s t i n a t i o n −p o r t $TCP_OUT_ALLOW / s b i n / i p t a b l e s −A OUTPUT −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \ −m m u l t i p o r t −−d e s t i n a t i o n −p o r t $UDP_OUT_ALLOW / s b i n / i p t a b l e s −A FORWARD −o ppp0 −p t c p −j ACCEPT −m s t a t e −−s t a t e NEW \ −m m u l t i p o r t −−d e s t i n a t i o n −p o r t $TCP_OUT_ALLOW / s b i n / i p t a b l e s −A FORWARD −o ppp0 −p udp −j ACCEPT −m s t a t e −−s t a t e NEW \ −m m u l t i p o r t −−d e s t i n a t i o n −p o r t $UDP_OUT_ALLOW Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Zbędne usługi Zapora ogniowa maskarada / s b i n / i p t a b l e s −t n a t −A POSTROUTING −p a l l −s 1 9 2 . 1 6 8 . 0 . 0 / 2 4 −j MASQUERADE echo "1" > / proc / s y s / net / i p v 4 / i p _ f o r w a r d logowanie odrzuconych pakietów / s b i n / i p t a b l e s −A INPUT −j LOG −m l i m i t −−l i m i t 10/ h o u r / s b i n / i p t a b l e s −A OUTPUT −j LOG −m l i m i t −−l i m i t 10/ h o u r / s b i n / i p t a b l e s −A FORWARD −j LOG −m l i m i t −−l i m i t 10/ h o u r kolejny ukłon w stronę użytkownika echo " zrobione !" Kopiujemy plik myfirewall do katalogu /etc/rc.d/init.d/. Nadajemy mu atrybut wykonywalności (tylko dla właściciela). Dodajemy go do poziomów pracy poleceniem chkconfig. Janusz Szwabiński Technologie Informatyczne od Podstaw Zdalna praca w sieci Usługi Bezpieczeństwo Janusz Szwabiński Zbędne usługi Zapora ogniowa Technologie Informatyczne od Podstaw