ipchains og Masqueradeing

Det første du bør gøre er at skille dit interne net fra de servere der er adgang til fra internettet.
Sæt tre netkort i firewall maskinen og udråb det ene som DMZ.

eth0 = internet
eth1 = DMZ
eth2 = LAN

Så har du slået en evt. hackers drøm om at overtage jeres interne net i stykker med det samme ;-)

Når du kun spørger om at port forwarde går jeg ud fra at du har fuldstændig styr på ipchains. So here we go :

ipmasqadm portfw -a -P tcp -L <ekstern_ip> port_nr -R <intern_ip> port_nr

-a betyder at du add\'er reglen.
-P henviser til protokollen, TCP eller UDP.
-L <ipadresse port> den adresse/port der forwardes fra.
-R <ipadresse port> den adresse der forwardes til.

hvis du skal slette reglen skriver du :
ipmasqadm -f

For mere info:
man ipmasqadm

HUSK !
En Firewall er strippet for alt unødvendigt.
Der er INGEN services tilgængelige fra usikre netværk eller ipadresser.
En firewall svarer ikke på ping.
Alle regler dropper pakker fremfor at rejecte.
Man checker logfiler en gang i døgnet.

Tænk engang alt dette for kun 30 træpenge ;-)

LuF

Victor44 ... det var lige den der \"ipmasqadm\" jeg har ledt efter ... det gør det hele nemere!

Jeg kan desværre ikke rode med 3 netkort, da vi ikke må rode i hardwaren på computerne - ud over det som sidder eksternt.

Men jeg vil kigge på det i morgen - og tildele dig point, når jeg har fået sat det op.

Tak for hjælpen!

p.s. ipchains har jeg IKKE fuldstændig styr på endnu. Jeg ved dog hvordan det virker i hovede trækkene .. men er dog forvirret over det.

Ja men så god fornøjelse.
Husk bare at du skal åbne for det som du vil forwarde for i ipchains.
Ellers virker det jo ikke særligt godt ;-)

Victor44> Hmmm ... jeg smider lige nogle flere point ind .. kan du så give mig et par ekspempler på hvad jeg skal skrive i IP chains, for at mine klienter kan komme på nettet?

Skal man åbne en input/output på både indsiden og ydersiden af firewall? Vi har prøve de ting som ser mest logisk ud .. men det hjælper ikke! :-(

INdtil videre laver vi ikke port fporwarding!

disse kommandoer er en mulighed for at få masquerading til at virke :
#tillader forwarding/masquerading
echo \"1\" > /proc/sys/net/ipv4/ip_forward
#sætter timeouts
ipchains -M -S 7200 10 60
#dropper alt
ipchains -P forward DENY
#tillader trafik fra 192.168.0.*
ipchains -A forward -s 192.168.0.0/8 -j MASQ

Hvis du er til en lidt mere advanceret firewall/masquerading så anbefaler jeg kernel 2.4 eller derover med iptables.
Virker super godt og har næsten alt hvad man kan ønske sig inden for firewall.
-Jens

jensaa - det ser ikke helt tosset ud, men du bør definere hvilket interface der skal MASQ\'es til.
Er det ikke noget sludder at skrive 192.168.0.0/8 ?

Så kommer reglen til at se således ud :

ipchains -A forward -s 192.168.0.0/24 -i ethx -j MASQ
ethx er det eksterne interface.

Den næste regel der skal laves hedder :
ipchains -A forward -j DENY -l

Dette sikrer at der ikke forwardes andet end pakker fra det interne til det eksterne net.


For at forstå ipchains skal du tænke sådan her :

en ip pakke passerer først en input hvis den skal routes paserer den forward og når den skal ud passerer den output.

Dette betyder at hvis du lukker noget med input kommer det aldrig til forward og output.

Logik for burhøns, hvis man lige får læst de to linier i dokumentation der beskriver det ;-)

Skriv hvilke intefaces du har (eth0, eth1 osv) og hvilket der er eksternt og internt osv.

Hvad du vil kunne på din firewall og hvad du ikke vil kunne.

Så kommer jeg med et par hurtige eksempler fra hoften ;-)

victor44> Jeg ved godt det med at skulle \"lukke op\" for input (og output?).

Men vi har siddet nogle stykker og prøve en hel del forskellige ting - og vi bliver bare ikke klogere på det. :-)

Men sådan har vi det:

Skolens net
(10.225.x.x/16)
(gateway 10.225.0.1)


  (ydersiden 10.225.2.1/16)
Firewall
  (indersidem 192.168.2.1/24)

-Klient computere, som skal have fuld adgang til skole nettet/Internettet.
-DNS server, som skal køre master/slave med skolen DNS server.
-Web, FTP, Mail server

(og en Samba server, men den skal ikke igennem firewall\'en)

På forhånd TAK.

Jeg går ud fra at du allerede har sat gw op på din firewall.

DNS server ? Du skal vel bare kunne se du to DNS servere.

Du skulle have forwardet www, ftp, mail ind i nettet.

! Husk at skrive ipchains foran !

insmod <diverse moduler>

-F
# eth? er dit eksterne interface.
# Husk at enable IP_FORWARD.

-A forward -s 192.168.2.0/24 -i eth? -j MASQ
-A forward -j DENY -l
# forward http til intern webserver.
ipmasqadm portfw -a -P tcp -L <ekstern_ip> 80 -R <intern_ip> 80
# forward FTP til intern FTP server.
ipmasqadm portfw -a -P tcp -L <ekstern_ip> 21 -R <intern_ip> 21
# forward SMTP til intern SMTP server.
ipmasqadm portfw -a -P tcp -L <ekstern_ip> 25 -R <intern_ip> 25

Hvis du absolut skal kunne lave zone tranfers mellem DNS servere skal du KUN åbne for de servere der skal kunne dette.
Det kræver et mere avanceret script før du kan dette da du enten for lukket for dine brugere eller åbnet for hackerne, men her har du lidt at komme videre med.

Husk at det ideelle er at du kun kan administrere maskinen fra tastaturet og hvis du vil kunne det remote via SSH. Du må ikke bruge telnet da protokollen kan \'aflyttes\' så du kan komme til at afsløre dit/dine passwords.

Det ovenstående script er et minimum og begrænser kun adgangen mellem de netværk som firewallen befinder sig i mellem. Det begrænser ikke adgangen til firewall\'en. Så alle services du bruger kan tilgås.
Husk at disable ALLE services på firewall\'en du ikke skal bruge (ALLE). Jo mindre du kan med firewall\'en jo mindre kan man udnytte den.
Du vil heller ikke kunne få forwarding af ftp til at virke hvis firewall\'en allerede lytter på ftp selv. Der vil opstå en konflikt her ;-)

Du skal være opmærksom på at ovenstående er et absolut minimum for at få det til at fungere.
Hvis du allerede har haft maskinen til at køre på internettet uden at slå alle unøvendige services fra. Så om installer den. Du kan ikke være sikker på at den ikke er hacket.
Det tager typisk under 3 sek. at hacke en maskine der er sårbar overfor \'standard\' angreb og det er stort set alle default installationer.

Hvis du skulle køre helt sur i det så lever jeg af at lave bla. sådanne maskiner og jeg kan komme ud til dig og hjælpe dig eller lave det for dig.

Prøv i øvrigt at se på www.linux.org under dokumentation og find firewall howto\'en.
Her er der beskrevet hvilke moduler der er hensigtsmæssige.

Du får en fortjent betaling!

Jeg har dog ikke læst det igennem endnu (i morgen vil jeg det) - men TAK FOR DET!