******************************************************************************************* firewall w systemie windows xp professional ******************************************************************************************* #uruchamianie okna konfiguracyjnego zapory systemu windows start => uruchom => wscui.cpl #analiza systemu netstat -ano > netstat tasklist > tasklist.txt #konfiguracja poprzez edytor zabezpieczen Zasad grup start => uruchom => gpedit.msc => Konfiguracja komputera => Szablony administracyjne => Sieć => Połšczenia sieciowe => Zapora systemu Windows => Profil standardowy ******************************************************************************************* firewall w systemie linux suse ******************************************************************************************* serwer firewalle zainstalowany jest w pakiecie iptables co sprawdzimy poleceniem rpm -qa | grep iptables jezeli pakiet zainstalowany, to najpierw deinstalacja rpm -e iptables* jezeli jakies inne pakiety wykorzystuja iptables, to smialo je deinstaluj nie baczac na nic poleceniem jak wyzej ze zmieniona oczywiscie nazwa pakietu rpm, np. rpm -e pakiet a nastepnie instalacja pakietu z katalogu /home/install rpm -i iptables...rpm -------------------------------------- serwer uruchomimy poleceniem z katalogu /etc/init.d ./SUSEFirewall start ./SuSEfirewall2_init start ./SuSEfirewall2_setup start mozemy go rowniez zrestartowac ./SUSEFirewall2 restart lub zatrzymac /etc/init.d/SUSEFirewall2 stop automatyczne uruchomienie przy starcie systemu sprawdzamy obecnoscia gwiazdki przy wyrazie iptables lub wystąpieniu zwrotu on przy SuSEfirewall2_init i SuSEfirewall2_setup na liscie uzyskanej poleceniem /sbin/chkconfig /sbin/chkconfig --level 345 SUSEFirewall2_init on /sbin/chkconfig --level 345 SUSEFirewall2_setup on /sbin/insserv uruchamiane przy starcie systemu programy (demony i skrypty) sprawdzimy również poleceniem /sbin/insserv -v ------------------------------------------------------- tresc pliku /etc/sysconfig/iptables - glowny plik konfiguracyjny lub /etc/sysconfig/SuSEfirewall2 oto jego minimalna tresc ------------------------------------------------------ ? -------------------------------------------------------------- do konfiguracji zasad firewalla stosujemy polecenie iptables, w pierwszej kolejności zapoznajemy się z pomocą wpisując man iptables sprawdzenie biezacej konfiguracji firewalla iptables -L ------------------------------------------------------ firewall wyzerujemy poleceniami iptables -F iptables -X a potem sprawdzamy jego stan po odblokowaniu poleceniem iptables -L jezeli wszystko ACCEPT to serwer jest odblokowany jezeli wszystko DROP to serwer jest zablokowany zasady bezpieczenstwa konfigurowane sa dla: input -> wejscia output -> wyjscia forward -> przekazywania (gdy wiecej urzadzen sieciowych) domyslne zasady zablokowania pakietow ustawiamy poleceniami z opcja P: iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP sprawdzamy uzyskana konfiguracje: iptables -L domyslne zasady odblokowania pakietow ustawiamy poleceniami: iptables -P FORWARD ACCEPT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT sprawdzamy uzyskana konfiguracje: iptables -L zablokowanie portu telnet na komputerze serwer wygladaloby nastepujaco: iptables -A INPUT -p tcp -s 0.0.0.0/0 -d 192.168.10.1/24 --dport 23 -j DROP zdjecie poprzedniegp ustawienia uzyskujemy poleceniem: iptables -D INPUT -p tcp -s 0.0.0.0/0 -d 192.168.10.1/24 --dport 23 -j DROP -------------------------------------------------------------------------------- iptables -A INPUT -s 192.168.10.0/24 --sport 20:23 -d 192.168.10.1/24 -p tcp -i eth0 -j ACCEPT iptables -A FORWARD -s 192.168.10.5 -d 0.0.0.0/0 -i eth0 -j MASQUEARADE gdzie: -A -> dodawanie regoly -D -> usuwanie regoly -s -> zrodlo sygnalu -d -> cel sygnalu -p -> protokol -i -> interfejs sieciowy -j -> zasada reakcji /24 -> maska 255.255.255.0 20:23 -> dla portow uslug sieciowych od 21 do 23 0.0.0.0/0 -> dla dowolnych adresow sieciowych -------------------------------------------------------------------------------- #przekazywanie pakietow mozliwe jest, gdy adresy IP komputerow sa tzw. rozgloszeniowe #jezeli IP sa z puli adresow nierozgloszeniowych, to przekazywanie moze wystepowec jedynie #pomiedzy sieciami lokalnymi (LAN) iptables -I FORWARD -s 192.168.10.0/255.255.255.0 -d 0.0.0.0/0 -j ACCEPT iptables -I FORWARD -d 192.168.10.0/255.255.255.0 -s 0.0.0.0/0 -j ACCEPT iptables -A FORWARD -j ACCEPT -p tcp '!' -y iptables -P FORWARD DROP iptables -P INPUT DROP iptables -A INPUT -s 192.168.10.0/24 -d 192.168.10.1 -j ACCEPT iptables -A INPUT -j ACCEPT -p tcp '!' -y #od hosta na zewnatrz iptables -A INPUT -j ACCEPT -p icmp iptables -A INPUT -j ACCEPT -d localhost iptables -A INPUT -j ACCEPT -p tcp -d 192.168.10.1 ssh iptables -A FORWARD -i eth0 -j MASQUEARADE #uaktywnienie echo "1" > /proc/sys/net/ipv4/ip_forward ------------------------------------------------------------------------------ konfiguracje firewalla mozemy zapisac w pliku wykonywalnym - skrypcie, aby uruchamial sie automatycznie: /etc/init.d/skrypt chmod 755 skrypt insserv skrypt