Tulemüüri labor: Difference between revisions
No edit summary |
No edit summary |
||
Line 1: | Line 1: | ||
=Legend= | =Legend= | ||
Tuleb installeerida tulemüür kus tuleb lubada veebiserver, Open SSH ja Samba. | Tuleb installeerida tulemüür kus tuleb lubada veebiserver, Open SSH ja Samba. | ||
Tulemüür peaks rakenduma arvuti alglaadimisel. | Tulemüür peaks rakenduma arvuti alglaadimisel. Labor/juhend töötab Linux Ubuntu versioonidega 10.04 ja 10.10. | ||
Revision as of 10:53, 7 April 2011
Legend
Tuleb installeerida tulemüür kus tuleb lubada veebiserver, Open SSH ja Samba. Tulemüür peaks rakenduma arvuti alglaadimisel. Labor/juhend töötab Linux Ubuntu versioonidega 10.04 ja 10.10.
Installeerimine
Alguses minna juurkasutajaks
sudo -i
Veebiserveri lubamiseks:
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Turvatud veebiserveri jaoks:
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
SSH lubamiseks:
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
Täpsemalt peab lubama järgnevad pordid Samba jaoks:
iptables -I INPUT -p tcp --dport 445 -j ACCEPT // TCP 445 iptables -I INPUT -p tcp --dport 139 -j ACCEPT // TCP 139 iptables -I INPUT -p udp --dport 138 -j ACCEPT // UDP 138 iptables -I INPUT -p udp --dport 137 -j ACCEPT // UDP 137
Keelatakse INPUTi liiklus, kui konkreetseid reegleid pole seatud
iptables -P INPUT DROP
Selleks et väljaminevate ühenduste jaoks tagasi tulnud pakette ka lubataks peab tegema nii:
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
Muidugi on alati tervislik lubada localhost õue:
iptables -A OUTPUT -o lo -j ACCEPT
NB! Suvalise teenuse pordid saad kindlaks teha netstat abil:
sudo /etc/init.d/smbd stop && \ netstat -lnut > /tmp/before && \ sudo /etc/init.d/smbd start && \ netstat -lnut > /tmp/after && \ diff -u /tmp/before /tmp/after
* Stopping Samba daemons [ OK ] * Starting Samba daemons [ OK ]
--- /tmp/before 2009-10-26 14:34:08.461610086 +0200 +++ /tmp/after 2009-10-26 14:34:08.533616024 +0200 @@ -1,7 +1,13 @@ Aktiivsed internetiühendused (ainult serverid) Proto VvJrk SaatJrk Kohalik aadress Väline aadress Olek tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN +tcp6 0 0 :::445 :::* LISTEN +tcp6 0 0 :::139 :::* LISTEN tcp6 0 0 ::1:631 :::* LISTEN udp 0 0 0.0.0.0:5353 0.0.0.0:* +udp 0 0 192.168.1.165:137 0.0.0.0:* +udp 0 0 0.0.0.0:137 0.0.0.0:* +udp 0 0 192.168.1.165:138 0.0.0.0:* +udp 0 0 0.0.0.0:138 0.0.0.0:* udp 0 0 0.0.0.0:57873 0.0.0.0:* udp 0 0 0.0.0.0:68 0.0.0.0:*
Kus plussiga on märgitud pordid mis lisandusid.
IPTABLES reeglite salvestamine ja taastamine
Salvestamine
Selleks, et reegleid salvestada, tuleb alguses luua koht kuhu neid reegleid salvestada
Näiteks:
mkdir /etc/iptables
Salvestamiseks endaks tuleb sisestada käsk :
iptables-save > /etc/iptables/iptables.conf
Fail kuhu reeglid salvestadakse ei pea olema iptables.conf
Taastamine
Taastamiseks (failist mis sa varem oled salvestanud) tuleb siestada järgmine käsk:
iptables-restore < /etc/iptables/iptables.conf
Taastamine alglaadmisel
Selleks, et taastada iptables reeglis alglaadimisel, tuleb muuta /etc/network/interfaces faili
Ava fail
nano /etc/network/interfaces
ning lisa faili lõppu järgmine rida :
pre-up iptables-restore < /etc/iptables/iptables.conf
Testimiseks tee reboot ja vaata järmise käsuga kas reeglid on olemas :
iptables -L
Edasijõudnutele
Siin leiab veel huvitavaid ridu:
http://enos.itcollege.ee/~mernits/infrastruktuur/loeng07%20-%20iptables.pdf