Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
vyuka:cviceni:y36sps:zadani-firewalling [2008/03/13 22:19] – root | vyuka:cviceni:y36sps:zadani-firewalling [2021/02/24 19:21] (current) – [Testování funkčnosti] kubr | ||
---|---|---|---|
Line 1: | Line 1: | ||
- | ====== | + | ====== Firewalling laborka ====== |
+ | |||
+ | - Nakonfigurujte paketový filtr '' | ||
+ | * POVOLOVAL ESTABLISHED a RELATED TCP SPOJENÍ, jinak vám nebude chodit na TCP vůbec nic | ||
+ | * (y) byly povoleny odchozí spojení ze všech (imaginárních) strojů (za vašim PC-routrem) na TCP port 80 do internetu | ||
+ | * (y) byly povoleny odchozí spojení na TCP porty 0-1024 do vnitřní sítě pro váš počítač (router) | ||
+ | * (y) uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface | ||
+ | * (y) uživatel '' | ||
+ | * (y) bylo povoleno spojení na TCP port 22 z vámi zvoleného počítače, | ||
+ | * (y) logovaly se odchozí spojení na UDP port 12345 | ||
+ | * (y) logovaly se příchozí spojení na TCP port 54321 z počítače ve vnitřní síti | ||
+ | * (y blbě, ale šlo by) alespoň triviálním způsobem bránil SYN floodu | ||
+ | * (n) fungoval překlad adres do světa (NAT) | ||
+ | * (y) bylo povoleno spojení ze světa na TCP port 80 zvoleného vnitřního počítače | ||
+ | * nezapomeňte nastavit port forwarding ve Virtual Boxu a paketovém filtru | ||
+ | * (?) fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu | ||
+ | * (?) šlo by ověřit z lokální sítě | ||
- | - Nakonfigurujte paketový filtr '' | ||
- | * byly povoleny odchozí spojení ze všech strojů na port 80 do internetu | ||
- | * byly povoleny odchozí spojení na porty 0-1024 do internetu pro celý systém | ||
- | * uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface | ||
- | * uživatel '' | ||
- | * bylo povoleno spojení na port 22 z počítače cvičícího **192.168.9.100**, | ||
- | * fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu | ||
- | * logovaly se odchozí spojení na port 12345 | ||
- | * logovaly se příchozí spojení na port 54321 z počítače vašeho kamaráda v místní síti | ||
- | * alespoň triviálním způsobem bránil SYN floodu | ||
- | * fungoval překlad adres do světa (NAT) - ověřeno bude bohužel pouze pohledem cvičícího | ||
- Výchozí politika: co není povoleno, je zakázáno. | - Výchozí politika: co není povoleno, je zakázáno. | ||
- Vymyslete, jak spolehlivě otestovat funkčnost filtru. | - Vymyslete, jak spolehlivě otestovat funkčnost filtru. | ||
- internetem se rozumí rozsah 0/0 | - internetem se rozumí rozsah 0/0 | ||
- | | + | |
- | ===== Bodování ===== | + | * pravidla označené (n) se nedají ověřit přímo v laborce |
+ | * cvičící si nepotrpí na konkrétní hodnoty, tzn. pokud místo 80 záměrně povolíte 3128 aby vám to fungovalo, jen do toho | ||
+ | * u (y) pravidel musíte umět předvést funkčnost | ||
+ | * odevzdáváte funkční pravidla ve firewallu ('' | ||
- | 1 bod za každé funkční pravidlo na konci cvičení. | ||
- | 0 bodů celkově, pokud nebudete mít správně výchozí politiku | ||
- | 2 bonusové body, pokud to stihnete do 30 minut od začátku práce na laborce | ||
- | 1 bonusový bod, pokud to stihnete do 45 minut od začátku práce na laborce | ||
- | 0 bonusových bodů jinak | ||
+ | ===== Bodování ===== | ||
+ | |||
+ | * splněno, pokud jste schopni demonstrovat funkčnost alespoň jednoho pravidla | ||
===== Pomůcky ===== | ===== Pomůcky ===== | ||
Line 34: | Line 40: | ||
http:// | http:// | ||
+ | |||
+ | |||
+ | |||
+ | |||
Line 39: | Line 49: | ||
* Příkaz telnet | * Příkaz telnet | ||
+ | * Tento příklad demonstruje úspěšné otevření TCP spojení na port 3128 < | ||
+ | student@student-desktop: | ||
+ | Trying 192.168.9.2... | ||
+ | Connected to 192.168.9.2. | ||
+ | Escape character is ' | ||
+ | ^]quit | ||
- | | + | telnet> quit |
+ | Connection closed. | ||
+ | </ | ||
+ | | ||
+ | student@student-desktop: | ||
+ | Trying 192.168.9.2... | ||
+ | telnet: Unable to connect to remote host: Connection timed out | ||
+ | </ | ||
+ | * Tento příkaz demonstruje pokus o otevření TCP spojení na zavřený port: < | ||
+ | student@student-desktop: | ||
+ | Trying 127.0.0.1... | ||
+ | telnet: Unable to connect to remote host: Connection refused | ||
+ | </ | ||
+ | * Webový prohlížeč | ||
+ | ==== Další zdroje ==== | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
- | ~~DISCUSSION~~ |