Tulemüüri labor: Difference between revisions
| Line 33: | Line 33: | ||
NB! Suvalise teenuse pordid saad kindlaks teha netstat abil: | NB! Suvalise teenuse pordid saad kindlaks teha netstat abil: | ||
sudo /etc/init.d/samba stop && \ | |||
netstat -lnut > /tmp/before && \ | |||
sudo /etc/init.d/samba start && \ | |||
netstat -lnut > /tmp/after && \ | |||
diff -u /tmp/before /tmp/after | |||
* Stopping Samba daemons [ OK ] | |||
Aktiivsed internetiühendused (ainult serverid) | * Starting Samba daemons [ OK ] | ||
--- /tmp/before 2009-10-26 14:34:08.461610086 +0200 | |||
tcp6 0 0 ::1:631 :::* LISTEN | +++ /tmp/after 2009-10-26 14:34:08.533616024 +0200 | ||
@@ -1,7 +1,13 @@ | |||
udp 0 0 0.0.0.0:57873 0.0.0.0:* | Aktiivsed internetiühendused (ainult serverid) | ||
Proto VvJrk SaatJrk Kohalik aadress Väline aadress Olek | |||
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN | |||
+tcp6 0 0 :::445 :::* LISTEN | |||
+tcp6 0 0 :::139 :::* LISTEN | |||
tcp6 0 0 ::1:631 :::* LISTEN | |||
udp 0 0 0.0.0.0:5353 0.0.0.0:* | |||
+udp 0 0 192.168.1.165:137 0.0.0.0:* | |||
+udp 0 0 0.0.0.0:137 0.0.0.0:* | |||
+udp 0 0 192.168.1.165:138 0.0.0.0:* | |||
+udp 0 0 0.0.0.0:138 0.0.0.0:* | |||
udp 0 0 0.0.0.0:57873 0.0.0.0:* | |||
udp 0 0 0.0.0.0:68 0.0.0.0:* | |||
Kus plussiga on märgitud pordid mis lisandusid. | |||
=IPTABLES reeglite salvestamine ja taastamine= | =IPTABLES reeglite salvestamine ja taastamine= | ||
Revision as of 14:36, 26 October 2009
Legend
Tuleb installeerida tulemüür kus tuleb lubada veebiserver, Open SSH ja Samba. Tulemüür peaks rakenduma arvuti alglaadimisel.
Installeerimine
Alguses minna juurkasutajaks
sudo -i
Veebiserveri lubamiseks:
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Turvatud veebiserveri jaoks:
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
SSH lubamiseks:
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
Täpsemalt peab lubama järgnevad pordid Samba jaoks:
iptables -I INPUT -p tcp --dport 445 -j ACCEPT // TCP 445 iptables -I INPUT -p tcp --dport 139 -j ACCEPT // TCP 139 iptables -I INPUT -p udp --dport 138 -j ACCEPT // UDP 138 iptables -I INPUT -p udp --dport 137 -j ACCEPT // UDP 137
Keelatakse INPUTi liiklus, kui konkreetseid reegleid pole seatud
iptables -P INPUT DROP
NB! Suvalise teenuse pordid saad kindlaks teha netstat abil:
sudo /etc/init.d/samba stop && \ netstat -lnut > /tmp/before && \ sudo /etc/init.d/samba start && \ netstat -lnut > /tmp/after && \ diff -u /tmp/before /tmp/after
* Stopping Samba daemons [ OK ] * Starting Samba daemons [ OK ]
--- /tmp/before 2009-10-26 14:34:08.461610086 +0200 +++ /tmp/after 2009-10-26 14:34:08.533616024 +0200 @@ -1,7 +1,13 @@ Aktiivsed internetiühendused (ainult serverid) Proto VvJrk SaatJrk Kohalik aadress Väline aadress Olek tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN +tcp6 0 0 :::445 :::* LISTEN +tcp6 0 0 :::139 :::* LISTEN tcp6 0 0 ::1:631 :::* LISTEN udp 0 0 0.0.0.0:5353 0.0.0.0:* +udp 0 0 192.168.1.165:137 0.0.0.0:* +udp 0 0 0.0.0.0:137 0.0.0.0:* +udp 0 0 192.168.1.165:138 0.0.0.0:* +udp 0 0 0.0.0.0:138 0.0.0.0:* udp 0 0 0.0.0.0:57873 0.0.0.0:* udp 0 0 0.0.0.0:68 0.0.0.0:*
Kus plussiga on märgitud pordid mis lisandusid.
IPTABLES reeglite salvestamine ja taastamine
Salvestamine
Selleks, et reegleid salvestada, tuleb alguses luua koht kuhu neid reegleid salvestada
Näiteks:
mkdir /etc/iptables
Salvestamiseks endaks tuleb sisestada käsk :
iptables-save > /etc/iptables/iptables.conf
Fail kuhu reeglid salvestadakse ei pea olema iptables.conf
Taastamine
Taastamiseks (failist mis sa varem oled salvestanud) tuleb siestada järgmine käsk:
iptables-restore < /etc/iptables/iptables.conf
Taastamine alglaadmisel
Selleks, et taastada iptables reeglis alglaadimisel, tuleb muuta /etc/network/interfaces faili
Ava fail
nano /etc/network/interfaces
ning lisa faili lõppu järgmine rida :
pre-up iptables-restore < /etc/iptables/iptables.conf
Testimiseks tee reboot ja vaata järmise käsuga kas reeglid on olemas :
iptables -L
