Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
vyuka:cviceni:y36sps:zadani-firewalling [2008/03/14 06:54] – root | vyuka:cviceni:y36sps:zadani-firewalling [2021/02/24 19:21] (current) – [Testování funkčnosti] kubr | ||
---|---|---|---|
Line 1: | Line 1: | ||
- | ====== | + | ====== Firewalling laborka ====== |
+ | |||
+ | - Nakonfigurujte paketový filtr '' | ||
+ | * POVOLOVAL ESTABLISHED a RELATED TCP SPOJENÍ, jinak vám nebude chodit na TCP vůbec nic | ||
+ | * (y) byly povoleny odchozí spojení ze všech (imaginárních) strojů (za vašim PC-routrem) na TCP port 80 do internetu | ||
+ | * (y) byly povoleny odchozí spojení na TCP porty 0-1024 do vnitřní sítě pro váš počítač (router) | ||
+ | * (y) uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface | ||
+ | * (y) uživatel '' | ||
+ | * (y) bylo povoleno spojení na TCP port 22 z vámi zvoleného počítače, | ||
+ | * (y) logovaly se odchozí spojení na UDP port 12345 | ||
+ | * (y) logovaly se příchozí spojení na TCP port 54321 z počítače ve vnitřní síti | ||
+ | * (y blbě, ale šlo by) alespoň triviálním způsobem bránil SYN floodu | ||
+ | * (n) fungoval překlad adres do světa (NAT) | ||
+ | * (y) bylo povoleno spojení ze světa na TCP port 80 zvoleného vnitřního počítače | ||
+ | * nezapomeňte nastavit port forwarding ve Virtual Boxu a paketovém filtru | ||
+ | * (?) fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu | ||
+ | * (?) šlo by ověřit z lokální sítě | ||
- | - Nakonfigurujte paketový filtr '' | ||
- | * byly povoleny odchozí spojení ze všech strojů na port 80 do internetu | ||
- | * byly povoleny odchozí spojení na porty 0-1024 do internetu pro celý systém | ||
- | * uživatel www-data nemohl iniciovat žádné odchozí spojení mimo loopback interface | ||
- | * uživatel '' | ||
- | * bylo povoleno spojení na port 22 z počítače cvičícího **192.168.9.100**, | ||
- | * fungovalo aktivní FTP pro odchozí i příchozí spojení z/do celého internetu | ||
- | * logovaly se odchozí spojení na port 12345 | ||
- | * logovaly se příchozí spojení na port 54321 z počítače vašeho kamaráda v místní síti | ||
- | * alespoň triviálním způsobem bránil SYN floodu | ||
- | * fungoval překlad adres do světa (NAT) - ověřeno bude bohužel pouze pohledem cvičícího | ||
- Výchozí politika: co není povoleno, je zakázáno. | - Výchozí politika: co není povoleno, je zakázáno. | ||
- Vymyslete, jak spolehlivě otestovat funkčnost filtru. | - Vymyslete, jak spolehlivě otestovat funkčnost filtru. | ||
- internetem se rozumí rozsah 0/0 | - internetem se rozumí rozsah 0/0 | ||
+ | * pravidla označené (y) se dají ověřit přímo v laborce | ||
+ | * pravidla označené (n) se nedají ověřit přímo v laborce | ||
+ | * cvičící si nepotrpí na konkrétní hodnoty, tzn. pokud místo 80 záměrně povolíte 3128 aby vám to fungovalo, jen do toho | ||
+ | * u (y) pravidel musíte umět předvést funkčnost | ||
* odevzdáváte funkční pravidla ve firewallu ('' | * odevzdáváte funkční pravidla ve firewallu ('' | ||
- | ===== Bodování ===== | ||
- | * 1 bod za každé funkční pravidlo na konci cvičení. | + | ===== Bodování ===== |
- | * 0 bodů celkově, pokud nebudete mít správně výchozí politiku | + | |
- | * 2 bonusové body, pokud to stihnete do 30 minut od začátku práce na laborce | + | |
- | * 1 bonusový bod, pokud to stihnete do 45 minut od začátku práce na laborce | + | |
- | * 0 bonusových bodů jinak | + | |
+ | * splněno, pokud jste schopni demonstrovat funkčnost alespoň jednoho pravidla | ||
===== Pomůcky ===== | ===== Pomůcky ===== | ||
Line 35: | Line 40: | ||
http:// | http:// | ||
+ | |||
+ | |||
+ | |||
Line 51: | Line 59: | ||
Connection closed. | Connection closed. | ||
</ | </ | ||
- | * Tento příkaz demonstruje neúspěšný pokus o spojení na port 3123 (timeout): < | + | * Tento příkaz demonstruje neúspěšný pokus o spojení na port 3123 (timeout): < |
student@student-desktop: | student@student-desktop: | ||
Trying 192.168.9.2... | Trying 192.168.9.2... | ||
+ | telnet: Unable to connect to remote host: Connection timed out | ||
</ | </ | ||
* Tento příkaz demonstruje pokus o otevření TCP spojení na zavřený port: < | * Tento příkaz demonstruje pokus o otevření TCP spojení na zavřený port: < | ||
Line 63: | Line 72: | ||
* Webový prohlížeč | * Webový prohlížeč | ||
- | ~~DISCUSSION~~ | + | ==== Další zdroje ==== |
+ | |||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// |