Skuteczność zapory.

[seba413]

Witam.Mam wątpliwości co do działania firewall-a, skan z tej stronyhttp://www.grc.com/x/ne.dll?rh1dkyd2 wygląda tak samo z włączoną (o ile jest włączona) i wyłączoną zaporą, wszystkie pola są niebieskie z wyjątkiem ostatnich 31 które są zielone.
Mój iptables wygląda tak:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j LOG --log-prefix "Ping: "
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Ping of death
iptables -A INPUT -m state --state NEW -p tcp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dports 22,80,443 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix "ACK scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP # Metoda ACK (nmap -sA)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j LOG --log-prefix "FIN scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP # Skanowanie FIN (nmap -sF)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH PSH -j LOG --log-prefix "Xmas scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP # Metoda Xmas Tree (nmap -sX)
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j LOG --log-prefix "Null scan: "
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP # Skanowanie Nu
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j LOG --log-prefix "SYN-flood: "
iptables -A syn-flood -j DROP

Uruchomiłem firewalla tak:

Kod: Zaznacz cały

update-rc.d firewall defaults 90

potem

Kod: Zaznacz cały

/etc/init.d/firewall

[krikras]

Cześć, wygląda dobrze, ale ja zmieniłbym oraz dodał dwie rzeczy. Z tego co pamiętam, grc w celu testu wykorzystuje icmp ping etc. A więc według mnie; a) blokowanie protokołu icmp oraz b) pierwszych 1024 portów:

Kod: Zaznacz cały

## blokowanie pierwszych 1024 portów
iptables -A INPUT -p tcp --dport 0:1024 -j DROP
iptables -A INPUT -p udp --dport 0:1024 -j DROP

## możesz jeszcze pobawić się w taki sposób (to tylko przykład):
iptables -A INPUT -p tcp -m tcp --dport 0:1024 --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable

## blokowanie protokołu 'icmp'
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -p icmp --icmp-type time-exceeded -j DROP

## może jeszcze coś w ten deseń
iptables –A INPUT –p icmp –icmp-type echo-request –j DROP

## coś dla nmap'a
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j DROP

## i może jeszcze coś w tym stylu odnośnie 'icmp'/ping:
## ale uwaga! nie będziesz miał możliwości sprawdzenia, 
## np. czy komputer jest włączony itd.
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP

## zezwolenie na 'ping' 'icmp' jeśli ich potrzebujesz (zauważ, że dwie ost. reguły \
## są bardziej rozbudowane);
iptables –A INPUT –p icmp –icmp-type echo-request –j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -d IP_CELU -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s IP_Adres -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Oczywiście, powyższe przykłady mają na celu ukazanie kilku możliwości blokowania ping'u, który test z grc wykorzystuje. Implementacja tych reguł zależy tylko od Ciebie. Generalnie podałem Ci, tylko to co pamiętam w tej chwili.

[seba413]

Dzięki za odpowiedź skorzystam z twoich rad, temat do zamkniecia.

[mistrz1]

Możesz zadzwonić do swojego dostawcy internetu i powiedzieć mu o wynikach testów jego firewalla. Tak, jego, bo dostawca internetu filtruje ruch. Sprawdź innego dostawcę, a zobaczysz, że wynik będzie inny.

[BuM]

https://github.com/Brian-Holt/server-shield

git clone https://github.com/Brian-Holt/server-shield

cd server-shield;chmod +x sshield;mv sshield /etc/init.d

/etc/init.d/sshield start