This is an old revision of the document!
Y36SPS: Firewalling laborka
- Nakonfigurujte paketový filtr
iptables
tak, aby:- POVOLOVAL ESTABLISHED a RELATED TCP SPOJENÍ, jinak vám nebude chodit na TCP vůbec nic
- (n) byly povoleny odchozí spojení ze všech (imaginárních) strojů (za vašim PC-routrem) na port 80 do internetu
- (y) pokud si to chcete zkusit, povolte to na 192.168.9.2 port 3128
- (n) byly povoleny odchozí spojení na porty 0-1024 do internetu pro váš počítač (router)
- (y) uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface
- (n) uživatel
tvrdik
měl povoleno iniciovat pouze spojení na port 80 do internetu- (y) pokud si to chcete zkusit, povolte to na lokální (localhost) port 631
- (y) bylo povoleno spojení na port 22 z počítače cvičícího 192.168.9.100, nejvýše však 2 za minutu
- (n) fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu
- (y) šlo by ověřit z lokální sítě
- (y) logovaly se odchozí spojení na port 12345
- (y) logovaly se příchozí spojení na port 54321 z počítače vašeho kamaráda v místní síti
- (y blbě, ale šlo by) alespoň triviálním způsobem bránil SYN floodu
- (n) fungoval překlad adres do světa (NAT)
- Výchozí politika: co není povoleno, je zakázáno.
- Vymyslete, jak spolehlivě otestovat funkčnost filtru.
- internetem se rozumí rozsah 0/0
- pravidla označené (y) se dají ověřit přímo v laborce
- pravidla označené (n) se nedají ověřit přímo v laborce
- cvičící si nepotrpí na konkrétní hodnoty, tzn. pokud místo 80 záměrně povolíte 3128 aby vám to fungovalo, jen do toho
- odevzdáváte funkční pravidla ve firewallu (
iptables -L -n
)
Bodování
- 1 bod za každé funkční pravidlo na konci cvičení (mimo established a related)
- 0 bodů celkově, pokud nebudete mít správně výchozí politiku
- 2 bonusové body, pokud to stihnete do 30 minut od začátku práce na laborce
- 1 bonusový bod, pokud to stihnete do 45 minut od začátku práce na laborce
- 0 bonusových bodů jinak
Pomůcky
FTP démon
FTP démon nainstalujete příkazem apt-get install proftpd. Chodí out-of-box. Uživatele přidáte do systému příkazem adduser.
iptables pomůcky v češtině
Testování funkčnosti
- Příkaz telnet
- Tento příklad demonstruje úspěšné otevření TCP spojení na port 3128
student@student-desktop:~$ telnet 192.168.9.2 3128 Trying 192.168.9.2... Connected to 192.168.9.2. Escape character is '^]'. ^]quit telnet> quit Connection closed.
- Tento příkaz demonstruje neúspěšný pokus o spojení na port 3123 (timeout):
student@student-desktop:~$ telnet 192.168.9.2 3123 Trying 192.168.9.2... telnet: Unable to connect to remote host: Connection timed out
- Tento příkaz demonstruje pokus o otevření TCP spojení na zavřený port:
student@student-desktop:~$ telnet localhost 23 Trying 127.0.0.1... telnet: Unable to connect to remote host: Connection refused
- Webový prohlížeč
~~DISCUSSION~~