Difference between revisions of "Tulemüüri labor"

From ICO wiki
(Installeerimine)
(Installeerimine)
Line 33: Line 33:
 
NB! Suvalise teenuse pordid saad kindlaks teha netstat abil:
 
NB! Suvalise teenuse pordid saad kindlaks teha netstat abil:
  
   lauri@lauri-studio-1535:~$ netstat -lnut
+
   sudo /etc/init.d/samba stop && \
   Aktiivsed internetiühendused (ainult serverid)
+
  netstat -lnut > /tmp/before && \
  Proto  VvJrk SaatJrk Kohalik aadress        Väline aadress          Olek
+
   sudo /etc/init.d/samba start && \
  tcp        0      0 127.0.0.1:631          0.0.0.0:*              LISTEN
+
  netstat -lnut > /tmp/after && \
  tcp6      0      0 :::445                  :::*                    LISTEN
+
  diff -u /tmp/before /tmp/after
  tcp6      0      0 :::139                  :::*                    LISTEN
 
  tcp6      0      0 ::1:631                :::*                    LISTEN
 
  udp        0      0 0.0.0.0:5353            0.0.0.0:*
 
  udp        0      0 192.168.1.165:137      0.0.0.0:*
 
  udp        0      0 0.0.0.0:137            0.0.0.0:*
 
  udp        0      0 192.168.1.165:138      0.0.0.0:*
 
  udp        0      0 0.0.0.0:138            0.0.0.0:*
 
  udp        0      0 0.0.0.0:57873          0.0.0.0:*
 
  udp        0      0 0.0.0.0:68              0.0.0.0:*
 
 
 
  lauri@lauri-studio-1535:~$ sudo /etc/init.d/samba stop
 
  * Stopping Samba daemons      [ OK ]
 
  
   lauri@lauri-studio-1535:~$ netstat -lnut
+
* Stopping Samba daemons    [ OK ]
   Aktiivsed internetiühendused (ainult serverid)
+
* Starting Samba daemons    [ OK ]
  Proto  VvJrk SaatJrk Kohalik aadress        Väline aadress          Olek
+
 
  tcp        0      0 127.0.0.1:631          0.0.0.0:*              LISTEN
+
   --- /tmp/before 2009-10-26 14:34:08.461610086 +0200
   tcp6      0      0 ::1:631                :::*                    LISTEN
+
  +++ /tmp/after  2009-10-26 14:34:08.533616024 +0200
  udp        0      0 0.0.0.0:5353            0.0.0.0:*
+
   @@ -1,7 +1,13 @@
   udp        0      0 0.0.0.0:57873          0.0.0.0:*
+
  Aktiivsed internetiühendused (ainult serverid)
  udp        0      0 0.0.0.0:68              0.0.0.0:*
+
  Proto  VvJrk SaatJrk Kohalik aadress        Väline aadress          Olek
  lauri@lauri-studio-1535:~$
+
  tcp        0      0 127.0.0.1:631          0.0.0.0:*              LISTEN
 +
   +tcp6      0      0 :::445                  :::*                    LISTEN
 +
  +tcp6      0      0 :::139                  :::*                    LISTEN
 +
  tcp6      0      0 ::1:631                :::*                    LISTEN
 +
  udp        0      0 0.0.0.0:5353            0.0.0.0:*
 +
   +udp        0      0 192.168.1.165:137      0.0.0.0:*
 +
  +udp        0      0 0.0.0.0:137            0.0.0.0:*
 +
  +udp        0      0 192.168.1.165:138      0.0.0.0:*
 +
  +udp        0      0 0.0.0.0:138            0.0.0.0:*
 +
  udp        0      0 0.0.0.0:57873          0.0.0.0:*
 +
  udp        0      0 0.0.0.0:68              0.0.0.0:*
 +
 
 +
Kus plussiga on märgitud pordid mis lisandusid.
  
 
=IPTABLES reeglite salvestamine ja taastamine=
 
=IPTABLES reeglite salvestamine ja taastamine=

Revision as of 15:36, 26 October 2009

Legend

Tuleb installeerida tulemüür kus tuleb lubada veebiserver, Open SSH ja Samba. Tulemüür peaks rakenduma arvuti alglaadimisel.


Installeerimine

Alguses minna juurkasutajaks

sudo -i

Veebiserveri lubamiseks:

 iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Turvatud veebiserveri jaoks:

 iptables -I INPUT -p tcp --dport 443 -j ACCEPT

SSH lubamiseks:

 iptables -I INPUT -p tcp --dport 22 -j ACCEPT


Täpsemalt peab lubama järgnevad pordid Samba jaoks:

 iptables -I INPUT -p tcp --dport 445 -j ACCEPT // TCP 445
 iptables -I INPUT -p tcp --dport 139 -j ACCEPT // TCP 139
 iptables -I INPUT -p udp --dport 138 -j ACCEPT // UDP 138
 iptables -I INPUT -p udp --dport 137 -j ACCEPT // UDP 137

Keelatakse INPUTi liiklus, kui konkreetseid reegleid pole seatud

 iptables -P INPUT DROP

NB! Suvalise teenuse pordid saad kindlaks teha netstat abil:

 sudo /etc/init.d/samba stop && \
 netstat -lnut > /tmp/before && \
 sudo /etc/init.d/samba start && \
 netstat -lnut > /tmp/after && \
 diff -u /tmp/before /tmp/after
* Stopping Samba daemons     [ OK ]
* Starting Samba daemons     [ OK ]
 --- /tmp/before 2009-10-26 14:34:08.461610086 +0200
 +++ /tmp/after  2009-10-26 14:34:08.533616024 +0200
 @@ -1,7 +1,13 @@
  Aktiivsed internetiühendused (ainult serverid)
  Proto  VvJrk SaatJrk Kohalik aadress        Väline aadress          Olek
  tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN
 +tcp6       0      0 :::445                  :::*                    LISTEN
 +tcp6       0      0 :::139                  :::*                    LISTEN
  tcp6       0      0 ::1:631                 :::*                    LISTEN
  udp        0      0 0.0.0.0:5353            0.0.0.0:*
 +udp        0      0 192.168.1.165:137       0.0.0.0:*
 +udp        0      0 0.0.0.0:137             0.0.0.0:*
 +udp        0      0 192.168.1.165:138       0.0.0.0:*
 +udp        0      0 0.0.0.0:138             0.0.0.0:*
  udp        0      0 0.0.0.0:57873           0.0.0.0:*
  udp        0      0 0.0.0.0:68              0.0.0.0:*

Kus plussiga on märgitud pordid mis lisandusid.

IPTABLES reeglite salvestamine ja taastamine

Salvestamine

Selleks, et reegleid salvestada, tuleb alguses luua koht kuhu neid reegleid salvestada

Näiteks:

 mkdir /etc/iptables

Salvestamiseks endaks tuleb sisestada käsk :

iptables-save > /etc/iptables/iptables.conf

Fail kuhu reeglid salvestadakse ei pea olema iptables.conf

Taastamine

Taastamiseks (failist mis sa varem oled salvestanud) tuleb siestada järgmine käsk:

iptables-restore < /etc/iptables/iptables.conf

Taastamine alglaadmisel

Selleks, et taastada iptables reeglis alglaadimisel, tuleb muuta /etc/network/interfaces faili

Ava fail

nano /etc/network/interfaces 

ning lisa faili lõppu järgmine rida :

pre-up iptables-restore < /etc/iptables/iptables.conf

Testimiseks tee reboot ja vaata järmise käsuga kas reeglid on olemas :

iptables -L