Differences

This shows you the differences between two versions of the page.

--- vyuka:cviceni:y36sps:zadani-firewalling [2008/03/14 07:46] – root
+++ vyuka:cviceni:y36sps:zadani-firewalling [2021/02/24 19:01] – [Firewalling laborka] kubr
@@ Line 1: / Line 1: @@
-====== Y36SPS: Firewalling laborka ======
+====== Firewalling laborka ======
   - Nakonfigurujte paketový filtr ''iptables'' tak, aby:
-    * (n) byly povoleny odchozí spojení ze všech (imaginárních) strojů (za vašim PC-routrem) na port 80 do internetu
+    * POVOLOVAL ESTABLISHED a RELATED TCP SPOJENÍ, jinak vám nebude chodit na TCP vůbec nic
-      * (y) pokud si to chcete zkusit, povolte to na 192.168.9.2 port 3128
+    * (y) byly povoleny odchozí spojení ze všech (imaginárních) strojů (za vašim PC-routrem) na TCP port 80 do internetu
-    * (n) byly povoleny odchozí spojení na porty 0-1024 do internetu pro váš počítač (router)
+    * (y) byly povoleny odchozí spojení na TCP porty 0-1024 do vnitřní sítě pro váš počítač (router)
     * (y) uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface
-    * (n) uživatel ''tvrdik'' měl povoleno iniciovat pouze spojení na port 80 do internetu
+    * (y) uživatel ''misko'' měl povoleno iniciovat pouze spojení na TCP port 80 a 443 do vnitřní sítě
-      * (y) pokud si to chcete zkusit, povolte to na lokální (localhost) port 631
+    * (y) bylo povoleno spojení na TCP port 22 z vámi zvoleného počítače, nejvýše však 2 za minutu
-    * (y) bylo povoleno spojení na port 22 z počítače cvičícího **192.168.9.100**, nejvýše však 2 za minutu
+    * (y) logovaly se odchozí spojení na UDP port 12345
-    * (n) fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu
+    * (y) logovaly se příchozí spojení na TCP port 54321 z počítače ve vnitřní síti
-      * (y) šlo by ověřit z lokální sítě
-    * (y) logovaly se odchozí spojení na port 12345
-    * (y) logovaly se příchozí spojení na port 54321 z počítače vašeho kamaráda v místní síti
     * (y blbě, ale šlo by) alespoň triviálním způsobem bránil SYN floodu
     * (n) fungoval překlad adres do světa (NAT)
+    * (y) bylo povoleno spojení ze světa na TCP port 80 zvoleného vnitřního počítače
+      * nezapomeňte nastavit port forwarding ve Virtual Boxu a paketovém filtru
+    * (?) fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu
+      * (?) šlo by ověřit z lokální sítě
   - Výchozí politika: co není povoleno, je zakázáno.
   - Vymyslete, jak spolehlivě otestovat funkčnost filtru.
@@ Line 22: / Line 24: @@
   * pravidla označené (n) se nedají ověřit přímo v laborce
   * cvičící si nepotrpí na konkrétní hodnoty, tzn. pokud místo 80 záměrně povolíte 3128 aby vám to fungovalo, jen do toho
+  * u (y) pravidel musíte umět předvést funkčnost
   * odevzdáváte funkční pravidla ve firewallu (''iptables -L -n'')
 ===== Bodování =====
-  * 1 bod za každé funkční pravidlo na konci cvičení.
+  * splněno, pokud jste schopni demonstrovat funkčnost alespoň jednoho pravidla
-  * 0 bodů celkově, pokud nebudete mít správně výchozí politiku
-  * 2 bonusové body, pokud to stihnete do 30 minut od začátku práce na laborce
-  * 1 bonusový bod, pokud to stihnete do 45 minut od začátku práce na laborce
-  * 0 bonusových bodů jinak
 ===== Pomůcky =====
@@ Line 41: / Line 40: @@
 http://www.root.cz/serialy/vse-o-iptables/
@@ Line 58: / Line 59: @@
 Connection closed.
 </file>
     * Tento příkaz demonstruje neúspěšný pokus o spojení na port 3123 (timeout): <file>
 student@student-desktop:~$ telnet 192.168.9.2 3123
 Trying 192.168.9.2...