vyuka:cviceni:y36sps:zadani-firewalling

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
vyuka:cviceni:y36sps:zadani-firewalling [2008/03/14 06:54] rootvyuka:cviceni:y36sps:zadani-firewalling [2021/02/24 19:21] (current) – [Testování funkčnosti] kubr
Line 1: Line 1:
-====== Y36SPS: Firewalling laborka ======+====== Firewalling laborka ====== 
 + 
 +  - Nakonfigurujte paketový filtr ''iptables'' tak, aby:  
 +    * POVOLOVAL ESTABLISHED a RELATED TCP SPOJENÍ, jinak vám nebude chodit na TCP vůbec nic 
 +    * (y) byly povoleny odchozí spojení ze všech (imaginárních) strojů (za vašim PC-routrem) na TCP port 80 do internetu 
 +    * (y) byly povoleny odchozí spojení na TCP porty 0-1024 do vnitřní sítě pro váš počítač (router) 
 +    * (y) uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface 
 +    * (y) uživatel ''misko'' měl povoleno iniciovat pouze spojení na TCP port 80 a 443 do vnitřní sítě 
 +    * (y) bylo povoleno spojení na TCP port 22 z vámi zvoleného počítače, nejvýše však 2 za minutu 
 +    * (y) logovaly se odchozí spojení na UDP port 12345  
 +    * (y) logovaly se příchozí spojení na TCP port 54321 z počítače ve vnitřní síti 
 +    * (y blbě, ale šlo by) alespoň triviálním způsobem bránil SYN floodu 
 +    * (n) fungoval překlad adres do světa (NAT) 
 +    * (y) bylo povoleno spojení ze světa na TCP port 80 zvoleného vnitřního počítače 
 +      * nezapomeňte nastavit port forwarding ve Virtual Boxu a paketovém filtru 
 +    * (?) fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu 
 +      * (?) šlo by ověřit z lokální sítě
  
-  - Nakonfigurujte paketový filtr ''iptables'' tak, aby: 
-    * byly povoleny odchozí spojení ze všech strojů na port 80 do internetu 
-    * byly povoleny odchozí spojení na porty 0-1024 do internetu pro celý systém 
-    * uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface 
-    * uživatel ''tvrdik'' měl povoleno iniciovat pouze spojení na port 80 do internetu 
-    * bylo povoleno spojení na port 22 z počítače cvičícího **192.168.9.100**, nejvýše však 2 za minutu 
-    * fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu 
-    * logovaly se odchozí spojení na port 12345  
-    * logovaly se příchozí spojení na port 54321 z počítače vašeho kamaráda v místní síti 
-    * alespoň triviálním způsobem bránil SYN floodu 
-    * fungoval překlad adres do světa (NAT) - ověřeno bude bohužel pouze pohledem cvičícího 
   - Výchozí politika: co není povoleno, je zakázáno.   - Výchozí politika: co není povoleno, je zakázáno.
   - Vymyslete, jak spolehlivě otestovat funkčnost filtru.   - Vymyslete, jak spolehlivě otestovat funkčnost filtru.
   - internetem se rozumí rozsah 0/0   - internetem se rozumí rozsah 0/0
  
 +  * pravidla označené (y) se dají ověřit přímo v laborce
 +  * pravidla označené (n) se nedají ověřit přímo v laborce
 +  * cvičící si nepotrpí na konkrétní hodnoty, tzn. pokud místo 80 záměrně povolíte 3128 aby vám to fungovalo, jen do toho
 +  * u (y) pravidel musíte umět předvést funkčnost
   * odevzdáváte funkční pravidla ve firewallu (''iptables -L -n'')   * odevzdáváte funkční pravidla ve firewallu (''iptables -L -n'')
  
-===== Bodování ===== 
  
-  * 1 bod za každé funkční pravidlo na konci cvičení. +===== Bodování =====
-  * 0 bodů celkově, pokud nebudete mít správně výchozí politiku +
-  * 2 bonusové body, pokud to stihnete do 30 minut od začátku práce na laborce +
-  * 1 bonusový bod, pokud to stihnete do 45 minut od začátku práce na laborce +
-  * 0 bonusových bodů jinak+
  
 +  * splněno, pokud jste schopni demonstrovat funkčnost alespoň jednoho pravidla
 ===== Pomůcky ===== ===== Pomůcky =====
  
Line 35: Line 40:
  
 http://www.root.cz/serialy/vse-o-iptables/ http://www.root.cz/serialy/vse-o-iptables/
 +
 +
 +
  
  
Line 51: Line 59:
 Connection closed. Connection closed.
 </file> </file>
-    * Tento příkaz demonstruje neúspěšný pokus o spojení na port 3123 (timeout): <file> +    * Tento příkaz demonstruje neúspěšný pokus o spojení na port 3123 (timeout): <file>
 student@student-desktop:~$ telnet 192.168.9.2 3123 student@student-desktop:~$ telnet 192.168.9.2 3123
 Trying 192.168.9.2... Trying 192.168.9.2...
 +telnet: Unable to connect to remote host: Connection timed out
 </file> </file>
     * Tento příkaz demonstruje pokus o otevření TCP spojení na zavřený port: <file>     * Tento příkaz demonstruje pokus o otevření TCP spojení na zavřený port: <file>
Line 63: Line 72:
   * Webový prohlížeč   * Webový prohlížeč
  
-~~DISCUSSION~~+==== Další zdroje ==== 
 + 
 +  * [[https://www.petrkrcmar.cz/prednasky/nftables_2017.pdf|LinuxDays: nftables – budoucnost linuxového firewallu prezentace (Petr Krčmář) ]] 
 +  * [[https://www.youtube.com/watch?v=BLh29Gz9Sac|LinuxDays: nftables – budoucnost linuxového firewallu video (Petr Krčmář) ]] 
 +  * [[https://www.youtube.com/watch?v=0kWvpXoEWTo&list=PLub6xBWO8gV_t_p-5-J_qU20fkkDtsLjB&index=18|InstallFest: Firewall pfSense (Lukáš Malý) ]] 
  • vyuka/cviceni/y36sps/zadani-firewalling.1205477640.txt.gz
  • Last modified: 2008/03/14 06:54
  • by root