Witam wszystkich grupowiczow Moj komputer stoi sobie w zalozonej przez pewna duza firme sieci osiedlowej. Mimo ze nie mialem dotychczas zadnych wlamow do kompa (pare wirusow z neta, jak siedzialem w windowsie) to chcialbym sobie profilaktycznie zabezpieczyc Debiana firewall'em.Nadmieniam ze chcialbym postawic u siebie serwer www, oczyw. dostepne tylko na siec lokalna.
Nadmieniam ze (jak to od czasu do czasu widze na czyjejs sygnaturce) wiem o sieci tyle co o chodowli swin. Przynajmniej do tego wniosku doszedlem od kiedy zaczalem sie interesowac Linux'em. Otoz wiec sklecilem sobie taki skrypcik: ********************************************** #!/bin/bash if [ "$1" = "start" ]; then iptables -P INPUT DROP echo "Akceptuje lokalne" iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT echo "Akceptuje polaczenia juz nawiazane" iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo "Zezwalam na PING'i" iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT echo "Zezwalam na WWW" iptables -A INPUT -p tcp -d 0/0 --dport www -j ACCEPT echo "Zalatwiam klopot z ftp'ami" iptables -A INPUT -p tcp --sport 1024: --dport 113 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable echo "Reszte loguje" iptables -A INPUT -j LOG -m limit --limit 10/hour echo "I zatrzymuje" iptables -A INPUT -j DROP echo "Firewall wystartowany..." elif [ "$1" = "stop" ]; then echo "Zatrzymanie Firewalla..." iptables -F INPUT iptables -P INPUT ACCEPT fi ************************************************ - nadaje mu prawa wykonywania i nazwe ,,firewall'' - wrzucam do /etc/init.d - tworze do niego link symboliczny w /etc/rc2.d o nazwie ,,S20firewall'' - po restarcie skrypt dziala i blokuje to co chcialem Teraz pytania: - czy to co sklecilem ma sens i czy wogole chroni? - jesli tak, to co zrobic z ogromna iloscia logow na konsoli i w logach (w tej sieci sa chyba same windowsy)? - cos dodac/usunac, jakies wskazowki? (opieralem sie na tym co znalazlem w necie) - czy wszystko co zrobilem jest zgodne z polityka Debiana? (i wogole z Linuxem :-) - czy da sie zrobic firewall'a, zebym widzial otoczenie sieciowe w sambie (teraz oczywiscie go nie widze)? Bede wdzieczny za jakies wskazowki/linki Nadmieniam ze w angielskim to ja tak sobie :-/ i 'man iptables' to dla mnie dosc ciemna magia szczegolnie ze chodzi tu o sieci. Pozdrawiam wszystkich Krzysiek -- ******************************** ** Krzysztof Krupa ** ** GG: 1104936 ** ** [EMAIL PROTECTED] ** ********************************
