WEB szerver firewall kerdes

[quote:6b3db06492="trey"][quote:6b3db06492="vmiklos"]sajnos én is programokkal gyártom a scriptjeimet :-(
azt h csak ssh meg http jöjjön be minden mást tiltasz, ezt hogy csinálod meg 4-5 sorban?

iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

ez a lenyege. aztan lehet szinezni.

Én is itt tartok hogy egy egyszerű tűzfalat generáljak egy hosting szerver elé. A netstat -a | grep -i listen -nel megnéztem, hogy milyen portokat használ a kédéses szerver. A /etc/services -ben megnéztem mik is azok (melyeket nem tudtam). Java részt mindig úgy volt hogy tcp és udp protokoll is. Kérdésem az lenne, hol/hogy lehetne megnézni, hogy melyik szolgálltatás igényli az udp portot?

Laci

Hello,

[quote:37676f54a0="x15"]
Sokat fog segiteni a pure-ftpd, a passziv ftp port tartomannyal (mar ha sikerul beloni, es mukodik is).

modprobe ip_conntrack_ftp (jobb esetben benne van a kernelben). Amugy nem kell 5 sor :) :

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i interface -s ! sajat_ip -p tcp -m state --state NEW -m limit --limit x/s -m multiport --dports 22,80 -j ACCEPT

meg default drop: iptables -P INPUT -j DROP
(multiportnal egy dolog necces, max. 15 port lehet egy szabalyban)
Bar SSH-t en kulon szabaly(ok)ban szoktam es nem rossz az, ha -s -el korlatozod, tobbi meg megy a levesbe.

Udv.

Hi!

[quote:f64724586a="lacika"]
Én is itt tartok hogy egy egyszerű tűzfalat generáljak egy hosting szerver elé. A netstat -a | grep -i listen -nel megnéztem, hogy milyen portokat használ a kédéses szerver.

Azert mero felelotlenseg lenne mindent engedni kintrol is, nem kell neked az a pl. mysql kivulrol ugye? :)
Atlagban 21,22,25,80,110,143,443 szokott kelleni, web(https),mail,ftp,ssh. Javaslom az alapjan dolgozz amit hasznalni akarsz.

[quote:f64724586a="lacika"]Java részt mindig úgy volt hogy tcp és udp protokoll is. Kérdésem az lenne, hol/hogy lehetne megnézni, hogy melyik szolgálltatás igényli az udp portot?

Fontosabbak kozul en egyet ismerek ami udp, az pedig a bind (53,udp).
Mellekesebbek kozul pl. game serverek szeretik. (Counter-Strike pl.)

Udv.

[quote:5805d2f4a5="djsmiley"]Hi!

[quote:5805d2f4a5="lacika"]
Én is itt tartok hogy egy egyszerű tűzfalat generáljak egy hosting szerver elé. A netstat -a | grep -i listen -nel megnéztem, hogy milyen portokat használ a kédéses szerver.

Azert mero felelotlenseg lenne mindent engedni kintrol is, nem kell neked az a pl. mysql kivulrol ugye? :)
Atlagban 21,22,25,80,110,143,443 szokott kelleni, web(https),mail,ftp,ssh. Javaslom az alapjan dolgozz amit hasznalni akarsz.

[quote:5805d2f4a5="lacika"]Java részt mindig úgy volt hogy tcp és udp protokoll is. Kérdésem az lenne, hol/hogy lehetne megnézni, hogy melyik szolgálltatás igényli az udp portot?

Persze, hogy a mysql -t nem fogom engedélyezni ;) Igaz a program konfigjában is úgy van megadva, hogy socketet használjon.
A DNS udp -jére én is gondoltam. Köszi.
Az merült fel bennem, mi lenne, ha nem a default policíben (-P) adnám meg hogy DROP, hanem végigsorolnám, amit lehet és a végén:
iptables -A INPUT -j REJECT
Csak azért mert ha DROP -ot adok, akkor az egy kicsikét belassíthatja a dolgokat esetleges nagyobb hálózati forgalom eetén. Ez nagyon elvetemült ötlet?
laci

Fontosabbak kozul en egyet ismerek ami udp, az pedig a bind (53,udp).
Mellekesebbek kozul pl. game serverek szeretik. (Counter-Strike pl.)

Udv.

[quote:9d3fe35ebc="trey"][quote:9d3fe35ebc="cstamas"]
IMHO iptables-save - iptables-restore párost szeretem.

Valahogy en mindig utaltam. Okat nem tudom. Talan az, hogy a megirt scriptem mindenhol mukodik, meg egy 1 floppy-s tuzfal gepen is, ahol nincs iptables-save - iptables-restore. :-D

Oda elég az iptables-restore. Még iptables se kell, csak ha menetközben mégis matatni akarsz valamit... Bár tény, hogy ha azt el is akarod menteni, akkor meg már iptables-save is kell :-)
De valóban megvan az az előnye, amit korábban már említettek, hogy nem azt csinálja, hogy fogja a teljes szabálylistát, csinál róla egy másolatot, beszúrja a megadott helyre az új szabályt (vagy kitörli a megadott helyről), majd közli a kernellel, hogy az új láncot / táblát használja a régi helyett, hanem a *COMMIT előtti összes szabályt előbb felveszi magának 0-ról építve, majd utána közli a kernellel, hogy ezeket kellene inkább használni.
És a lefordított binárisok mérete:
[code:1:9d3fe35ebc]
-rwxr-xr-x 1 root root 57632 jún 4 02:55 /sbin/iptables
-rwxr-xr-x 1 root root 61288 jún 4 02:55 /sbin/iptables-restore
-rwxr-xr-x 1 root root 60496 jún 4 02:55 /sbin/iptables-save
[/code:1:9d3fe35ebc]

Egyébként, hogy van ez a működési módszer, és fix szabálylistáknál ezt érdemes használni maga Kadlecsik Józsi mesélte, ha jól emlékszem, akkor az IPSZILONos előadásán...

Hat ooo, ize.
Itt a sok iptables szabaly utan, szerintem erdemes lenne megemliteni, hogy
mivel az iptables effektiv vedelmet nem ad a 80as portodra (bar lehet trukkozni, tudom),
a viszonylag normalis megoldas egy apache + chroot lenne szvsz.
Errol mar szerintem valamelyik topicban mar szo volt, de leirasok millioi is megtalalhato a guglin a biztonsagos webserver uzemeltetesrol.
Ezekbol leszurve egy _teljesen alap_ biztonsagi megoldast az iptables + chroot parossal lehet osszehozni.

deta

[quote:38bc48cbb3="x15"]Milyen firewall szkript letezik web szerverre?

tobbfajta, bar az emberek altalaban Az Adott Kiszolgalora Szabott Egyeni nevu scriptre eskusznek

[quote:38bc48cbb3="x15"]Ha be van kapcsolva a firewall, erezhetoen lelassul a szerver.

mikozben 100 helyrol portscannelik egyszerre, vagy csak ugy gondol egyet, es onmagaban?

[quote:38bc48cbb3="x15"]Kell -e egyaltalan firewall?

nem, a mukodesnek nem feltetele egy firewall meglete

nem kell, csak érdemes :wink:

[quote:e69a79a76e="x15"]Milyen firewall szkript letezik web szerverre?

Ha be van kapcsolva a firewall, erezhetoen lelassul a szerver.
(sarge, 2.6.8, apache2)

Kell -e egyaltalan firewall?

A hup.hu szervere elott kulso firewall van, de ez az en esetemben nem (vagy csak nehezen) kivitelezheto.

Milyen firewall van bekapcsolva? Ha megosztanad velunk a scriptet... Egy webszerverre mar 4-5 soros iptables script is megfelelolen hatasos lehet. Nem kell semmit tulkomplikalni...

sajnos én is programokkal gyártom a scriptjeimet :-(
azt h csak ssh meg http jöjjön be, és minden más bejövőt tiltasz, ezt hogy csinálod meg 4-5 sorban?

[quote:a32cff0ed5="vmiklos"]sajnos én is programokkal gyártom a scriptjeimet :-(
azt h csak ssh meg http jöjjön be minden mást tiltasz, ezt hogy csinálod meg 4-5 sorban?

iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

ez a lenyege. aztan lehet szinezni.

[quote:cbf2d55646="x15"]
OK, a skript:

Hat, szerintem inkabb ird meg magad.

[quote:98ae1a5c31="trey"]iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

ez a lenyege. aztan lehet szinezni.

és ha vissza akrom állítani ez ez előtti állapotot (mondjuk bootolás utáni, ha nem indul automatikusan semmi iptables), akkor meg ez:
iptables -F INPUT
iptables -F OUTPUT
jól gondolom? :?

[quote:7dd3039e34="vmiklos"]sajnos én is programokkal gyártom a scriptjeimet :-(
azt h csak ssh meg http jöjjön be, és minden más bejövőt tiltasz, ezt hogy csinálod meg 4-5 sorban?

default policy drop, ssh/http accept

[quote:21af198584="vmiklos"]és ha vissza akrom állítani ez ez előtti állapotot (mondjuk bootolás utáni, ha nem indul automatikusan semmi iptables), akkor meg ez:
iptables -F INPUT
iptables -F OUTPUT
jól gondolom? :?

Hat ha biztosra akarsz menni:

iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Ahany ember annyifelekeppen csinalja.

kösz :wink:
igen, az a baj, h annyi iptables howto van, és mindegyik másképp oldja meg ugyanazokat a problémákat, így aztán nehéz belőlük tanulni :wink:

[quote:cb763d1c0c="vmiklos"]kösz :wink:
igen, az a baj, h annyi iptables howto van, és mindegyik másképp oldja meg ugyanazokat a problémákat, így aztán nehéz belőlük tanulni :wink:

99%-ka hatulrol mellbe kancsoval fejbe stilusu (azaz amit meg lehetne oldani 8-10 sorban, azt megoldja 200-ban). szerintem mindenkinek maganak kell megirnia ugy a sajat tuzfal szkriptjet, hogy 100%-ig ertse is, hogy az mit csinal. kulonben mi alapjan bizik meg benne?

ahogy mondod :D
bár én pl az alapján, h már korábban máshonnan ismertem a készítőjét ;-)

[quote:ac811d5dda="x15"]Milyen firewall szkript letezik web szerverre?

Ha be van kapcsolva a firewall, erezhetoen lelassul a szerver.
(sarge, 2.6.8, apache2)

Kell -e egyaltalan firewall?

A hup.hu szervere elott kulso firewall van, de ez az en esetemben nem (vagy csak nehezen) kivitelezheto.

szvsz nem a server lassul le hanem mivel hogy DROP-olsz lehet hogy valahol timeout-okat kell kivarnod 2 legjellemzobb eset: dns es identd/amit sokminden hasznalna eloszeretettel/ arrol nem is beszelve hogy ha az icmp-t letiltod kivulrol nem kapod meg a host/port unreach-okat ami szinten hosszu timeout varast eredmenyez.

[quote:2186c8b405="polya"][quote:2186c8b405="x15"]Milyen firewall szkript letezik web szerverre?

Ha be van kapcsolva a firewall, erezhetoen lelassul a szerver.
(sarge, 2.6.8, apache2)

Kell -e egyaltalan firewall?

A hup.hu szervere elott kulso firewall van, de ez az en esetemben nem (vagy csak nehezen) kivitelezheto.

szvsz nem a server lassul le hanem mivel hogy DROP-olsz lehet hogy valahol timeout-okat kell kivarnod 2 legjellemzobb eset: dns es identd/amit sokminden hasznalna eloszeretettel/ arrol nem is beszelve hogy ha az icmp-t letiltod kivulrol nem kapod meg a host/port unreach-okat ami szinten hosszu timeout varast eredmenyez.

ICMP miatt a web nem lassul le. Pingeld meg a HUP-ot. A HUP sem valaszol. De amugy igaz, a DROP miatt sokszor kell timeoutra varni. De webszerver eseten nem jatszik szerintem. Nekem sok webszerverem megy default DROP/ESTABLISHED,RELATED-del gond nelkul.

[quote:4cb29b750e="trey"]
ICMP miatt a web nem lassul le. Pingeld meg a HUP-ot. A HUP sem valaszol. De amugy igaz, a DROP miatt sokszor kell timeoutra varni. De webszerver eseten nem jatszik szerintem. Nekem sok webszerverem megy default DROP/ESTABLISHED,RELATED-del gond nelkul.

maga a webszolgaltatas nem - de egyeb dolgok igen akkar egy ftp/ssh kapcsolat a serverrol kifele ami frissitesnel meg ugy alltalaban is konnyen elofordulat - ill nem mondtam hogy nemszabad dropolni csak van amit erdemesebb rejectelni ill annyira az echo-reqest nem bantja a servert persze ez utobbi nem trivialis ha win9x-en fut a webserver.

[quote:0101c7331b="vmiklos"]sajnos én is programokkal gyártom a scriptjeimet :-(
azt h csak ssh meg http jöjjön be, és minden más bejövőt tiltasz, ezt hogy csinálod meg 4-5 sorban?

iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -d ipcim -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -d ipcim -j ACCEPT
iptables -A INPUT -i intefesz -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPU -i lo -j ACCEPT

Így nem jó?

Laci

Egy ici picit off, de anyir lehet hogy még sem. Melyik az a parancs debian alatt, amivel meg lehet nézni, hogy melyik portot melyik procesz használja éppen?

Laci

nem a netstatra gondolsz? nem csak debian alatt van :wink:

[quote:753e1e9e80="lacika"]hogy melyik portot melyik procesz

netstat -lnp?

[quote:95395bda30="lacika"]iptables -A INPUT -i intefesz -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPU -i lo -j ACCEPT

az első sor az mit csinál?

ps: gondolom a végén is INPUT :wink:

[quote:0d33d4533f="vmiklos"][quote:0d33d4533f="lacika"]iptables -A INPUT -i intefesz -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPU -i lo -j ACCEPT

az első sor az mit csinál?

ps: gondolom a végén is INPUT :wink:

Lacika leirta ugyanazt amit en, csak forditott sorrendben + szint. hibakkal :-D

Az EST,RELATED azt jelenti, hogy a te altalad inditott keresekre visszaengedi a valaszt. Ami kell is mert jol neznel ki, ha egy elinditott web keresre nem engedned vissza a valaszt (a DROP ezt teszi).

kösz. télleg bocs, h nem rtfmelek, de a howtokról már te is leírtad a véleményed, erre meg most nem sikerült rájönnöm a manpageből ;-)

lehet meg szinezni ilyesmikkel, hogy csibesz-flagkombinaciok szurese:

ipatables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
ipatables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
ipatables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
ipatables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
ipatables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
ipatables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

vagy limitalt icmp:

iptables -A INPUT -i <interface> -p icmp -m limit --limit 10/minute --limit-burst 3 -j ACCEPT

[quote:c8b06fd522="snq-"][quote:c8b06fd522="lacika"]hogy melyik portot melyik procesz

netstat -lnp?

Nem egészen erre gondoltam. Régen használtam egy parancsot (most nagyon nem jut eszembe sajna), amivel le lehetett kérni hogy melyik procesz használja pl. a 80/TCP portot. Válaszként visszakaptunk egy procesz IDt. Így tudjátok már melyik lehet?

Laci

[quote:43d0b7312d="lacika"][quote:43d0b7312d="snq-"][quote:43d0b7312d="lacika"]hogy melyik portot melyik procesz

netstat -lnp?

Nem egészen erre gondoltam. Régen használtam egy parancsot (most nagyon nem jut eszembe sajna), amivel le lehetett kérni hogy melyik procesz használja pl. a 80/TCP portot. Válaszként visszakaptunk egy procesz IDt. Így tudjátok már melyik lehet?

Laci

man fuser

[quote:de60cd0523="trey"]Az EST,RELATED azt jelenti, hogy a te altalad inditott keresekre visszaengedi a valaszt. Ami kell is mert jol neznel ki, ha egy elinditott web keresre nem engedned vissza a valaszt (a DROP ezt teszi).

_imo_ amit mondasz, az csak az ESTABLISHED, a RELATED osszetettebb dolgoknal erdekes (pl active ftp)

de a RELATED tud rosszul is elsulni:
http://www.tempest.com.br/pesquisa_whitepapers_advisory200101.htm

[quote:dc53b82db0="trey"][quote:dc53b82db0="lacika"][quote:dc53b82db0="snq-"][quote:dc53b82db0="lacika"]hogy melyik portot melyik procesz

netstat -lnp?

Nem egészen erre gondoltam. Régen használtam egy parancsot (most nagyon nem jut eszembe sajna), amivel le lehetett kérni hogy melyik procesz használja pl. a 80/TCP portot. Válaszként visszakaptunk egy procesz IDt. Így tudjátok már melyik lehet?

Laci

man fuser

Pontosan erre gondoltam! Köszönöm szépen!! Majd a homlokomra írom, hogy ne felejtsem el :)

Laci

[quote:b61e9d2a87="snq-"]
_imo_ amit mondasz, az csak az ESTABLISHED, a RELATED osszetettebb dolgoknal erdekes (pl active ftp)

Persze. Ket mondatban nem lehet ``How to become an iptables expert in five minutes (nutshell)'' tanfolyamot tartani. Akit bovebben erdekel a tema annak el kell benne merulni melyebben.

de a RELATED tud rosszul is elsulni:
http://www.tempest.com.br/pesquisa_whitepapers_advisory200101.htm

Nyilvan minel szorosabb egy tuzfal policy, annal biztonsagosabb. Vannak azonban olyan esetek ahol muszaj a RELATED. Azt meg azert tetelezzuk fel, hogy az iptables-unk nem lyukas, es allandoan frissitjuk, mert ha nem igy van akkor megette a fene az egesz tuzfalasdit. (IMHO) :-D

[quote:ea7c1dcbfa="vmiklos"]sajnos én is programokkal gyártom a scriptjeimet :-(
azt h csak ssh meg http jöjjön be, és minden más bejövőt tiltasz, ezt hogy csinálod meg 4-5 sorban?

IMHO iptables-save - iptables-restore párost szeretem.

miért? mert a frankó iptables minden egyes szabálynál ki-be töltögeti az egész ruleset-et
és ez így nem optimális

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
COMMIT

cat iptables-rules | iptables-restore
én így szoktam csinálni. Igaz az amit fentebb írtam problémát csak nagyszámú szabálynál okoz érezhető lassulást.

Ja persze amíg kikisérletezed addig érdemes sima iptables parancsokat mondani, viszont a végén iptables-save > file
és kész a fent idézett file.

És még valami így nincs szükség semmi -F -re szabályok láncok törlésére, sőt a számlálókat is kimenti. (bár ha ezt egyszer csinálod akkor tök mindegy)

Most igy elgondolkodom azon hogy mikor lattam utoljara ilyen kilometeres iptables scripteket. Egy alapottarto csomagszuro (pl. ipfilter) alatt ennyi lenne a "befele http + ssh" megoldas:
[code:1:0a2b991aad]
block in log all
pass out all keep state
pass in on {interfeszneve} proto tcp from any to {enIPcimem} port = 80 keep state
pass in on {interfeszneve} proto tcp from any to {enIPcimem} port = 22 keep state
pass in on lo0 from any to any
[/code:1:0a2b991aad]

Es mar ebben is vannak gyakorlatilag felesleges redundanciak.

[quote:c2a653c706="cstamas"]IMHO iptables-save - iptables-restore párost szeretem.

igen, én is azt használom
most lacika meg trey magyarázatai alapján már asszem kidobom a generáló progikat, de idáig úgy csináltam, progival beállítottam, aztán meg iptables-save ;-)

[quote:8e4c2c480f="cstamas"][quote:8e4c2c480f="vmiklos"]sajnos én is programokkal gyártom a scriptjeimet :-(
azt h csak ssh meg http jöjjön be, és minden más bejövőt tiltasz, ezt hogy csinálod meg 4-5 sorban?

IMHO iptables-save - iptables-restore párost szeretem.

Valahogy en mindig utaltam. Okat nem tudom. Talan az, hogy a megirt scriptem mindenhol mukodik, meg egy 1 floppy-s tuzfal gepen is, ahol nincs iptables-save - iptables-restore. :-D