Y36SPS: Firewalling laborka

1. Nakonfigurujte paketový filtr iptables tak, aby:
   • byly povoleny odchozí spojení ze všech strojů na port 80 do internetu
   • byly povoleny odchozí spojení na porty 0-1024 do internetu pro celý systém
   • uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface
   • uživatel tvrdik měl povoleno iniciovat pouze spojení na port 80 do internetu
   • bylo povoleno spojení na port 22 z počítače cvičícího 192.168.9.100, nejvýše však 2 za minutu
   • fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu
   • logovaly se odchozí spojení na port 12345
   • logovaly se příchozí spojení na port 54321 z počítače vašeho kamaráda v místní síti
   • alespoň triviálním způsobem bránil SYN floodu
   • fungoval překlad adres do světa (NAT) - ověřeno bude bohužel pouze pohledem cvičícího
2. Výchozí politika: co není povoleno, je zakázáno.
3. Vymyslete, jak spolehlivě otestovat funkčnost filtru.
4. internetem se rozumí rozsah 0/0

• odevzdáváte funkční pravidla ve firewallu (iptables -L -n)

1 bod za každé funkční pravidlo na konci cvičení. 0 bodů celkově, pokud nebudete mít správně výchozí politiku 2 bonusové body, pokud to stihnete do 30 minut od začátku práce na laborce 1 bonusový bod, pokud to stihnete do 45 minut od začátku práce na laborce 0 bonusových bodů jinak

FTP démon nainstalujete příkazem apt-get install proftpd. Chodí out-of-box. Uživatele přidáte do systému příkazem adduser.

http://www.root.cz/serialy/vse-o-iptables/

• Příkaz telnet

student@student-desktop:~$ telnet 192.168.9.2 3128 Trying 192.168.9.2… Connected to 192.168.9.2. Escape character is '^]'.

telnet> quit Connection closed. student@student-desktop:~$ telnet 192.168.9.2 3123 Trying 192.168.9.2…

student@student-desktop:~$ telnet 192.168.9.2 student@student-desktop:~$ telnet localhost 23 Trying 127.0.0.1… telnet: Unable to connect to remote host: Connection refused

• Webový prohlížeč

~~DISCUSSION~~