Ubuntu.pl 🇺🇦️ - Forum Ubuntu

Witam.

Postanowiłem napisać sobie zaporę opartą o iptables dla laptopa pracującego jako stanowisko robocze w sieci domowej oraz poza nią.
Proszę o wyrozumiałość ponieważ dopiero się uczę, a wszystkie uwagi i sugestie są dla mnie cenne

Adresacja sieci domowej 192.168.125.0/24
Interfejsy w laptopie
wlan0 - wi-fi
eth1 - Kabelek
ppp0 - Modem 3g na usb

Założenia:
Komputer w sieci domowej oferuje usługi www, ftp, samba, ssh do których ma być dostęp z sieci (Tylko), umożliwione pingowanie komputera.
W pozostałych sieciach (po za domem) niezależnie od podłączonego interfejsu zabraniamy pingowania, oraz Zamykamy wszystko.

Skrypt jaki wymyśliłem, oraz pytanie czy poprawnie spełnia kryteria oraz czy można coś w nim poprawić?

Kod: Zaznacz cały

#!/bin/sh

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INPUT DROP INVALID " --log-ip-options --log-tcp-options
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -p icmp --icmp-type echo-request -j  DROP
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j  DROP
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j  DROP
    
 #Dopuszczamy ruch z sieci domowej   
iptables -A INPUT -s 192.168.125.0/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 450 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 136 -j ACCEPT

Pytanie do specjalistów czy możemy zrobić iptables -P OUTPUT DROP a zapewnić działanie www na maszynie?

Pozdrawiam.

Można OUTPUT dać na DROP (politykę domyślną), a potem wypuścić regułami ruch na podstawie rożnych dopasowań firewalla.
jest to jednak o tyle niepraktyczne, ze apt-get musi aktualizować system, i w związku z tym musi mieć dostęp do netu.
Więc albo pozwolisz na OUTPUT wszystkim, albo np tylko sobie, ale rootowi będziesz wtedy ustawiał pozwolenia na ICMP, na ściąganie paczek i list pakietów, na usługę DNS, razem to będzie sporo zabawy.
Ale próbować możesz.

OUTPUT się przydaje jak chcemy chronić internet przez użytkownikami na naszym komputerze.

Rozumiem, że skrypt spełnia swoje zadanie i zabezpieczy kompa?

Ubuntu.pl 🇺🇦️ - Forum Ubuntu

Faierwall na laptopa - Biurko

Faierwall na laptopa - Biurko

Re: Faierwall na laptopa - Biurko

Re: Faierwall na laptopa - Biurko

Re: Faierwall na laptopa - Biurko