Главная » Linux

Firewall для alt linux

Содержание
  1. Firewall
  2. Firewall [ править ]
  3. Роутер [ править ]
  4. Etcnet Firewall
  5. Материал из ALT Linux Wiki
  6. Содержание
  7. Настройка сетевого экрана в /etc/net
  8. Системные таблицы и допустимые системные цепочки
  9. Используемые файлы и каталоги
  10. Алгоритм работы сетевого экрана
  11. Примечания
  12. Примеры
  13. Утилиты
  14. Примеры команд
  15. Прочее
  16. Server Security
  17. Содержание
  18. Краткие заметки по минимальной защите сервера [ править ]
  19. Проверяем, какие сервисы запущены и слушают порты [ править ]
  20. Настраиваем firewall [ править ]
  21. Настраиваем сервисы [ править ]
  22. SSH [ править ]

Firewall

Эта страница была перемещена с freesource.info.
Эта страница наверняка требует чистки и улучшения — смело правьте разметку и ссылки.
Просьба по окончанию убрать этот шаблон со страницы.
Эта статья протухла.
Её нужно существенно доработать или удалить

Firewall [ править ]

Роутер [ править ]

При настройке роутера в режиме моста (когда он будет принимать пакеты, предназначенные другому узлу), нужно включить proxy_arp:

(для всех необходимых интерфейсов)

Это необходимо, если маршрут для сети не задан явно, ведь по IP-адресу MAC-адреса хостов из другого сегмента сети определить невозможно. При включении proxy_arp роутер будет транслировать протокол ARP, отвечая на все запросы ARP who-has на интерфейсе eth1 для хостов в подключенной за ним к eth0 сети и будет форвардить трафик для них, то есть для узла это будет выглядеть как будто в непосредственно подключенному к нему сегменте находятся хосты из обеих сетей (сегментов), поэтому явное прописывание маршрута не потребуется.

Источник

Etcnet Firewall

Материал из ALT Linux Wiki

Содержание

Настройка сетевого экрана в /etc/net

Начиная с версии 0.7.9 etcnet содержит поддержку управления сетевым экраном ( firewall ). В данный момент поддерживается iptables , ip6tables , ipset и ebtables . Реализация основана на группировке таблиц и цепочек в таблицах. Таблицы могут быть только системные, цепочки же, кроме системных, могут быть заданы пользователем.

Системные таблицы и допустимые системные цепочки

В системных таблицах имеется возможность использовать следующие системные цепочки:

Таблица Цепочки
filter INPUT FORWARD OUTPUT
nat PREROUTING OUTPUT POSTROUTING
mangle PREROUTING INPUT FORWARD OUTPUT POSTROUTING
raw PREROUTING OUTPUT

Схема прохождения пакетов

Используемые файлы и каталоги

/etc/net/ifaces/default/fw/options — файл с настройками сетевого экрана по умолчанию:

  • FW_TYPE — тип сетевого экрана. Здесь можно указать только iptables , другие типы пока не поддерживаются. Обратите внимание на этот параметр, т.к. по умолчанию он не указан в файле настроек.
  • IPTABLES_HUMAN_SYNTAX — включает или отключает использование поддержки «читабельного» синтаксиса правил для iptables (см. ниже). Значение: yes или no
  • IPTABLES_SYSTEM_CHAINS — список системных цепочек в таблицах. Все цепочки, не указанные здесь, будут автоматически создаваться и удаляться. Значение: названия цепочек (все названия чувствительны к регистру!), разделенные пробелом.
  • IPTABLES_INPUT_POLICY — действие по-умолчанию для пакетов, попадающих в системную цепочку INPUT таблицы filter. Значение: одно из ACCEPT , DROP , QUEUE или RETURN
  • IPTABLES_FORWARD_POLICY — действие по-умолчанию для пакетов, попадающих в системную цепочку FORWARD таблицы filter. Значение: одно из ACCEPT , DROP , QUEUE или RETURN
  • IPTABLES_OUTPUT_POLICY — действие по-умолчанию для пакетов, попадающих в системную цепочку OUTPUT таблицы filter. Значение: одно из ACCEPT , DROP , QUEUE или RETURN
  • IPTABLES_RULE_EMBEDDING — способ добавления нового правила в цепочку. Значение: APPEND или INSERT , что означает добавление в конец списка правил или, соответственно, в начало.

/etc/net/ifaces/default/fw/iptables/filter , /etc/net/ifaces/default/fw/iptables/nat , /etc/net/ifaces/default/fw/iptables/mangle — каталоги, соответствующие таблицам iptables. В каталогах создаются файлы, соответствующие необходимым системным или пользовательским цепочкам, в которых уже и прописываются сами правила iptables.

/etc/net/ifaces/default/fw/iptables/loadorder , /etc/net/ifaces/default/fw/tablename/loadorder — если такой файл существует и не пуст, то обработка таблиц и/или цепочек в таблице происходит в том порядке, который указан в файле (по одному значению на строку). Все таблицы и цепочки, которые не указаны, обрабатываться не будут. /etc/net/ifaces/default/fw/iptables/modules — список модулей ядра, которые необходимо загрузить перед запуском сетевого экрана. При остановке эти модули выгружаются. /etc/net/ifaces/default/fw/iptables/syntax — описание замен при использовании «читабельного» синтаксиса правил iptables

Читайте также:  Numbers mac os �����������

Алгоритм работы сетевого экрана

  1. При запуске службы network , виртуальный интерфейс default :
    1. Если опция CONFIG_FW (в файле /etc/net/ifaces/default/options ) не установлена в yes , то ничего не делает и происходит выход из процедуры запуска сетевого экрана, иначе переходим к следующему пункту.
    2. Считывается файл настроек /etc/net/ifaces/default/fw/iptables/options .
    3. До настройки любого интерфейса и обработки значений sysctl устанавливаются действия по умолчанию ( policy ) для системных цепочек таблицы filter .
    4. Считывается файл со списком модулей ядра /etc/net/ifaces/default/fw/iptables/modules , и все указанные в нем модули (по одному на строку) загружаются. При отсутствии файла никакие модули не загружаются.
    5. Создаются все пользовательские цепочки во всех таблицах (пользовательскими считаются все цепочки, не указанные в переменной IPTABLES_SYSTEM_CHAINS ).
    6. Считывается файл /etc/net/ifaces/default/fw/iptables/loadorder , и в указанном в нем порядке происходит обработка таблиц iptables . При отсутствии файла обработка происходит в соответствии с сортировкой названий таблиц по имени.
    7. Считывается файл /etc/net/ifaces/default/fw/iptables/tablename/loadorder в каждой обрабатываемой таблице, и происходит обработка и загрузка правил для каждой цепочки в порядке, указанном в файле. При отсутствии файла обработка опять же происходит в соответствии с сортировкой по имени.
    8. Если опция IPTABLES_HUMAN_SYNTAX установлена в yes , то считывается и обрабатывается файл с «синтаксисом» /etc/net/ifaces/default/fw/iptables/syntax .
    9. Файл с правилами обрабатывает построчно (одно правило на строку); если указана опция IPTABLES_HUMAN_SYNTAX , то правило обрабатывается интерпретатором в соответствии с синтаксисом и превращается в реальные опции для команды iptables , после чего запускается iptables с этими параметрами; иначе правило без обработки передается iptables .
  2. При «поднятии» любого интерфейса, кроме default :
    1. Выполняются все подпункты пункта 1, только все файлы и каталоги ищутся в каталоге текущего интерфейса.
  3. При «опускании» любого интерфейса, кроме default :
    1. Все подпункты пункта 1 выполняются в обратном порядке, все правила удаляются из цепочек в обратном порядке, все модули ядра выгружаются в обратном порядке. Все файлы и каталоги ищутся в каталоге текущего интерфейса.
  4. При остановке службы network виртуальный интерфейс default :
    1. Все подпункты пункта 1 выполняются в обратном порядке, все правила из всех цепочек удаляются командой iptables -F , все модули выгружаются в обратном порядке, все пользовательские цепочки удаляются.
    2. Действия по умолчанию ( policy ) для системных цепочек устанавливается в ACCEPT .

Примечания

  • Правила для iptables можно писать с помощью синтаксиса, подобного синтаксису ipfw и других. Сделано это с помощью простой замены слов на опции iptables . Сами замены описаны в файле /etc/net/ifaces/default/fw/iptables/syntax (там также описано некоторое количество вспомогательных слов, так что правила можно писать практически на английском литературном). Синтаксис правила можно совмещать (то есть использовать и заданный в etcnet синтаксис, и реальные опции команды iptables ).
  • Во всех правилах нельзя использовать названия цепочки и/или таблицы. Они будут добавляться автоматически.
  • В правилах можно использовать любые переменные окружения, выполнять любые команды shell (они должны быть указаны в одну строку). Переменная $NAME содержит имя текущего интерфейса. Переменные $IPV4ADDRESS и $IPV6ADDRESS содержат массив IPV4/IPV6 адресов текущего интерфейса (это обычные bash arrays, можно обращаться к ним по индексу: $ или просто $IPV4ADDRESS для первого значения). Для удобства можно использовать файлы options , в которых прописывать какие-либо переменные, к примеру, адреса gateway, ISP, сетей и т. д.
  • Во всех файлах можно использовать комментарии (строка должна начинаться с символа # ).
  • Нет необходимости копировать все файлы настроек в каталог каждого интерфейса. Сначала будут считаны настройки виртуального интерфейса default , а уже потом у текущего интерфейса, соответственно, можно переопределять только требуемые для настройки параметры.
  • Описания всех правил в настройках виртуального интерфейса default достаточно для поднятия простого сетевого экрана. При наличии же большого количества правил и интерфейсов есть смысл разделить логически все правила по каждому интерфейсу (опять же, не будет нагружаться процессор без необходимости, если интерфейс, к которому относится много правил, сейчас не «поднят»).
  • В начале каждого правила можно указать, что с этим правилом делать. Может быть одно из трёх значений:
    • -A — добавление в конец списка правил (при включенном «читабельном» синтаксисе соответствует команде append ).
    • -I [num] — добавление в начало списка правил; если указан необязательный параметр num , то правило будет вставлено в строку правил с таким номером (будьте внимательны, iptables считает несуществующий номер строки ошибкой и не добавляет правило); (при включенном «читабельном» синтаксисе соответствует команде insert [num] ).
    • -D — удаление правила из списка правил (соответственно, при «остановке» интерфейса правило наоборот будет добавлено); (при включенном «читабельном» синтаксисе соответствует команде delete ).
  • Если никакое действие не указано, то правило добавляются в цепочку в соответствии со значением переменной IPTABLES_RULE_EMBEDDING .
  • Если вы изменяете какое-то правило в конфигурационных файлах при уже загруженных правилах iptables , то для того, чтобы в памяти не остались старые правила, необходимо или выгрузить все правила для текущего интерфейса (если вы настраиваете для конкретного интерфейса, а не для default ) перед изменением файлов или после изменения использовать команду efw default restart (она полностью удалит все правила, однако, пользовательские цепочки других интерфейсов не будут затронуты, и далее загрузить заново правила для нужного или всех интерфейсов.

Примеры

Пример настройки сетевого экрана в etcnet (файл — содержание):

Утилиты

  • В contrib находятся следующие вспомогательные утилиты:
    • Скрипт efw , который предназначен для ручного управления сетевым экраном и «умеет» следующее:

На данный момент он «умеет» частично «угадывать» интерфейс, таблицу и цепочку (если их не передали в командной строке) и все действия, кроме counters . Так же поддерживается маска all для интерфейсов, таблиц и цепочек.

Примеры команд

  • Выгрузить (flush) все правила из всех цепочек всех таблиц, удалить цепочки, заданные пользователем, выгрузить все загруженные модули: efw default stop
  • Выгрузить (путем удаления каждого правила в обратном порядке) все правила из цепочки FORWARD таблицы filter для интерфейса eth0 : efw eth0 unload
  • Загрузить все правила для всех цепочек во всех таблицах всех интерфейсов: efw all all all load
  • Обработать правило и добавить его во все цепочки таблицы filter : efw default filter all rule accept all from any
  • Если вы изменяете какое-либо правило в конфигурационных файлах при уже загруженных правилах iptables , то для того, чтобы в памяти не остались старые правила, необходимо:
    • Вариант 1: Выгрузить все правила для текущего интерфейса (если вы настраиваете для конкретного интерфейса, а не default ) перед изменением файлов;
    • Вариант 2: После изменения использовать команду efw default restart (она полностью удалит все правила, однако, пользовательские цепочки других интерфейсов не будут затронуты), и далее загрузить заново правила для требуемого или всех интерфейсов;

Таким образом, наиболее используемой командой при изменении конфигурации сетевого экрана является:

Прочее

Конвертор правил, а точнее, дампа iptables-save (альфа версия и требует пакет? ruby ) в соответствующее расположение правил в etcnet

Данное руководство относится к версии etcnet 0.8.5 и выше.

Источник

Server Security

Эту статью следует викифицировать.
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Содержание

Краткие заметки по минимальной защите сервера [ править ]

На написание данного черновика навел меня вопрос в рассылке:

hi all
Скажу сразу, я не спец по безопасности…

PS вопрос возник после того, как только что подняв машину завёл пользователя admin c паролем admin (думал когда закончу работу поменяю) поставил ssh и… пошёл на 10 мин в туалет. Когда вернулся дело было уже сделано — уже кто-то приконектился и начал что-то на мою машину заливать. Удивительно даже — маньяки какие-то… Я ж не супер-мега сервер какой-то, а рядовой

В этой заметке я хочу собрать советы и рекомендации, скорее идеи, как настроить некоторый уровень безопасности сервера или рабочей станции при подключении к Интернет. Эти рекомендации ни в коем случае не обеспечат абсолютной защиты вашего сервера (такой не существует), но большинство атак отразить помогут.

Проверяем, какие сервисы запущены и слушают порты [ править ]

После установки необходимого ПО, проверьте, какие порты открыты.

Приведенная строка информирует нас о том, что на всех сетевых адресах открыт порт 993, и слушает его cyrus-master.
Да, я уверен, что этот сервис должен слушать этот порт (это IMAPS). Надписи вида 127.0.0.1:xxx в третьей колонке означают, что сервис работает только в пределах самой машины (считается безопасным). Если вы обнаружите открытый порт и сервис, который вам не известен, разберитесь досконально, что это и для чего нужно, прежде чем отключать. Если данный сервис нужен в локальной сети, но не должен быть доступен извне, посмотрите в настройки данного сервиса, наиболее вероятным параметром будет LISTEN. Например, настройки сервера ssh:

В моем примере данная настройка не используется, а вы поступайте по своему разумению.

Настраиваем firewall [ править ]

Возможна ситуация, когда необходимый сервис не имеет такой настройки, и слушает все сетевые интерфейсы. В таком случае необходимо настроить iptables. (Я предполагаю, что у вас именно этот пакет. В другом случае, берите на вооружение идею, а реализуйте ее тем инструментарием, который у вас есть). Есть два пути настройки iptables, использовать тот файл настроек, который предусмотрен дистрибутивом, и написание собственного скрипта. Различий мало… Я привожу вариант настроек для /etc/sysconfig/iptables.

Более подробно почитайте на странице, подготовленной Виталием Липатовым.

Настраиваем сервисы [ править ]

SSH [ править ]

Минимально нужно ограничить вход в систему для пользователей, которым это не нужно. Оставим только того, кто реально может и должен иметь доступ (и ограничим скорость попыток подключений), и/или установим/настроим дополнительно sshutout.

По минимуму, все … Далее, имеет смысл правильно настроить ваш почтовый сервер, для того, чтобы через него не рассылали спам, но это уже другая статья (в дистрибутивах ALT Linux, в конфигурации по умолчанию, почтовик не смотрит в Интернет).

Источник

Читайте также:  Windows 10 раздел 500 мб
Оцените статью
© 2024 Советы по настройке компьютера