|
Blokowanie otoczenia sieciowego
|
| MrRoger |
Dodano 09-04-2009 15:22
|
User
Posty: 109
Dołączył: 16/11/2007 13:14
|
Wiec tak, siec wyglada nastepujaco:
Potrzebuje uruchomic separacje uzytkownikow:
* przed WRT54GL z tymi za WRT54GL (mij IPS to siec sasiedzka)
* za WRT54GS (2kompy) z cala reszta
* WAG200 (2kompy) od reszty
trzeba mi wylaczyc procz otoczenia sieciowego - dodatkowo, ftp, skanowanie, pingi etc...
czy blokada portow na WRT54GS i GL wystarczy? (135-139 + 443?)
Pozdrawiam
|
| |
|
|
| shibby |
Dodano 09-04-2009 18:48
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
natuj polaczenia na 54GL i tyle. nie mozesz zablokowac ftp pingow itd bo zablokujesz im dostep na swiat np ftp.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| MrRoger |
Dodano 09-04-2009 22:03
|
User
Posty: 109
Dołączył: 16/11/2007 13:14
|
Cytat shibby napisał/a:
natuj polaczenia na 54GL i tyle. nie mozesz zablokowac ftp pingow itd bo zablokujesz im dostep na swiat np ftp.
iptables -A INPUT -s 0/0 -p tcp --dport 135 -j DROP
iptables -A INPUT -s 0/0 -p tcp --dport 136 -j DROP
iptables -A INPUT -s 0/0 -p udp --dport 137 -j DROP
iptables -A INPUT -s 0/0 -p udp --dport 138 -j DROP
iptables -A INPUT -s 0/0 -p tcp --dport 139 -j DROP
iptables -A INPUT -s 0/0 -p tcp --dport 445 -j DROP
* czy uzycie "0/0" zadziala rowniez od strony WLan'u?
* nie wiem za co dokladnie odpowiada 135 i 136 i jaki protokol blokowac tcp czy upd, ale wyczytalem ze dla otoczenia nalezy tez te porty "dropnac" - prawda to ?
Edytowany przez MrRoger dnia 09-04-2009 22:13
Pozdrawiam
|
| |
|
|
| shibby |
Dodano 09-04-2009 23:28
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
nie input tylko forward
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| MrRoger |
Dodano 10-04-2009 01:08
|
User
Posty: 109
Dołączył: 16/11/2007 13:14
|
Cytat shibby napisał/a:
nie input tylko forward
czyli:
iptables -A FORWARD -s 0/0 -p tcp --dport 135 -j DROP
iptables -A FORWARD -s 0/0 -p tcp --dport 136 -j DROP
iptables -A FORWARD -s 0/0 -p udp --dport 137 -j DROP
iptables -A FORWARD -s 0/0 -p udp --dport 138 -j DROP
iptables -A FORWARD -s 0/0 -p tcp --dport 139 -j DROP
iptables -A FORWARD -s 0/0 -p tcp --dport 445 -j DROP
czy tak?
dodatkowo:
1. za jaka usluge odpowiada port 135 i 136?
2. czy FORWARD zablokuje przegladanie otoczenia dla eth0, WLAN i reszcie interfejsow?
3. Jak spod konsoli przeladowac plik z konfiguracja Firewall'a
( w duzych dystrybucja zaczynaja sie od rc_ (rc_masq itd) a tutaj ?
Edytowany przez MrRoger dnia 10-04-2009 01:10
Pozdrawiam
|
| |
|
|
| shibby |
Dodano 10-04-2009 12:00
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
sprawdz powinno zadzialac
1) google wylaczyli? wystarczy wpisac w google "port 135" i kliknac w pierwszy link http://bezpieczenstwo.idg.pl/artykuly...eglad.html
2) forward jak sama nazwa wskazuje odnosi sie do wszystkich pakietow PRZEKAZYWANYCH. poniewaz nie podajesz interfejsow wejscia i wyjscia to bedzie tyczylo sie wszystkich polaczen.
3) nie da sie, chyba ze zrobisz sobie sam firewall. chociaz tak sobie mysle co by bylo jakby najpierw odpalic /etc/iptables a pozniej /tmp/script_fire.sh 
obsy jak myslisz? 
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| MrRoger |
Dodano 10-04-2009 13:47
|
User
Posty: 109
Dołączył: 16/11/2007 13:14
|
Uzylem regulek w iptables:
iptables -A FORWARD -s 0/0 -p udp --dport 135 -j DROP
iptables -A FORWARD -s 0/0 -p udp --dport 136 -j DROP
iptables -A FORWARD -s 0/0 -p udp --dport 137 -j DROP
iptables -A FORWARD -s 0/0 -p udp --dport 138 -j DROP
iptables -A FORWARD -s 0/0 -p tcp --dport 139 -j DROP
iptables -A FORWARD -s 0/0 -p tcp --dport 445 -j DROP
jak rozumie FORWARD dotyczy wszystkich pakietow przechodzacych z dowolnego na dowolny interface sieciowy w routerze?
przy uzywaniu INPUT i OUTPUT nalezalo by podac nazwy interfejsow, a tym samym zdublowac reguly i ta sama regulke wpisac dla eth0 i wlan z zamieniona kolejnoscia interfejsow by blokowanie dzialalo na wszystkich - tak?
Dzieki za pomoc - zobacze jak sie to bedzie sprawdzac
Pozdrawiam
|
| |
|
|
| shibby |
Dodano 10-04-2009 14:06
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
input i output tyczy sie routera. pakiet chodzacy do routera i wychodzacy
forward przekazywany
interfejsy jezeli chcesz podawac to
-i - input - interfejs wchodzacy
-o - output - inteferjs wychodzacy
czyli np
iptables -A FORWARD -i eth1 -o eth0 --dport 135:139 -p tcp -j DROP
tlumaczy sie drupuj pakiety ktore sa przekazywane (forward), z eth1 (-i eth1), do eth0 (-o eth0) i dport jest z zakresu 135-139 tcp.
wiec tak naprawde dalbys rade zalatwic to jednym wpisem typu:
iptables -A FORWARD --dport 135:139 -j DROP
czyli wszystko przekazywane na portach 135-139 sio.
nie testowane, tak do glowy mi przyszlo poczytaj o iptables to sie wszystkiego dowiesz.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| MrRoger |
Dodano 10-04-2009 23:51
|
User
Posty: 109
Dołączył: 16/11/2007 13:14
|
Dzieki sliczne - czytam o iptables, ale malo jest artykulow tlumaczocych od takiej najprostrzej lapatologicznej strony ...
Jak juz jestesmy przy portach i interfejsach
czy FORWARD dziala w obie strony dla pakietow przekazywanych Z i DO sieci/internetu?
Dodatkowo od strony internetu chce zamknac/zablokowac kilka niebezpiecznych portow powiniennem to uczynic poleceniem FORWARD czy juz INPUT od strony eth1 (wlan w Tomato)
iptables -A INPUT -i eth1 -p tcp --dport 8488 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 2339 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 6766 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 9325 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 16515 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 12321 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 44767 -j DROP
poprawnie czy musze jeszcze doodac interfejs "-o"
?
Pozdrawiam
|
| |
|
|
| shibby |
Dodano 11-04-2009 08:39
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
input tyczy routera! nie sieci. forward dziala w obie strony.
domyslna polityka w tomato dla input jest DROP na wszystko wiec twoje regulki sa bez sensu,
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| MrRoger |
Dodano 11-04-2009 11:55
|
User
Posty: 109
Dołączył: 16/11/2007 13:14
|
Cytat shibby napisał/a:
input tyczy routera! nie sieci. forward dziala w obie strony.
prosze, wyjasnij mi jeszcze pojecie INPUT tyczy routera?
Chodzi mi o to bys rozrysowal to obrazowo.
LAN - router - WAN (w obu kierunkach to forward)
INPUT dziala rowniez z obu kierunkow do routera, ale regula tyczy sie wchodzacych pakietow? Jak sadze (i o ile rozumie) wykozystuje sie ja tylko do przekierowywania np. na inne porty bo po co zostawiac niefiltrowane pakiety wychodzace, skoro przychodzace sa filtrowane?
No chyba ze jest to serwer x86 z minimum 3x karta sieciowa to wtedy regula INPUT mozna przekierowac je na jeden z dwoch interfejsow - czy tak?
Cytat domyslna polityka w tomato dla input jest DROP na wszystko wiec twoje regulki sa bez sensu,
Chce zablokowac ruch na w/w portach poniewaz aplikacja:
GFI LANguard Network Security Scanner wykazuje mi, ze mam je otwarte (sa to porty wykozystywane tylko przez back door'y i trojany) skoro program sie polaczyl na w/w portach to cos nie tak z ta polityka Tomato na domyslny DROP.
Szukam wiec reguly ktora zamknie calkowicie ruch.
Pozdrawiam
|
| |
|
|
| shibby |
Dodano 11-04-2009 15:29
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
trzeci raz pisze ze INPUT tyczy sie routera. czyli wszystkich pakietow ktore sa kierowane do routera a nie do sieci!!
wszystko do jest przekazywane przez router, nie wazne czy z wan do lan czy z lan do wan czy z wifi do lan itd trafia w lancuch FORWARD!!!
tak wiec polityka domyslna w tomato dla INPUT jest DROP. to znaczy ze wszystko co chce przyjsc do routera jest odrzucane, dlatego np chca miec mozliwosc polaczenia sie od kolegi do tomato przez ssh musisz sobie ten port OTWORZYC bo DOMYSLNIE zostanie od odrzucony. dlatego napisalem ze twoje regulki sa bezsensu.
jezeli chcesz zablokowac SOBIE (czyli komputerowi wewnatrz sieci) te porty to musisz posluzyc sie lancuchem forward a nie input.
czy cos jeszcze jest tu niejasne
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| MrRoger |
Dodano 11-04-2009 23:37
|
User
Posty: 109
Dołączył: 16/11/2007 13:14
|
jesli masz uzywasz jakiegos komunikatora to chetnie o cos zapytam - moze byc ICQ, jabber, GG
Pozdrawiam
|
| |
|
|
| shibby |
Dodano 12-04-2009 09:03
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
mam ale zlapac mnie na gg graniczy z cudem
pisz tu lub na PM. moze innym tez sie to kiedys przydac.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
' target='_blank'>Link
