iptables leiras

www.morizot.net
Easy Firewall Generator

1. legenerálod
2. átolvasod
3. lerajzolod a chainek egymásutánját (redirect, ...)
4. megérted
5. kényed kedved szerint módosítod az extra igényeidnek megfelelően

Hoppá!
Több mint egy év után most rakott fel egy újabb verziót!
Pont jókor szóltál!

Tévedtem, az már tegnap volt.
Rohan az idő! ....

FireHOL, the iptables stateful packet filtering firewall builder.
http://firehol.sourceforge.net/
Érdemes megnézni ezt is, jó leírás van hozzá.

Ez miert nem jo?
Van benne egy alapbeallitas is, amit csak finomitani kell:
http://www.szabilinux.hu/iptables/
Ha a 22-es portot nyitva hagyod, akkor ssh-n be tudsz lepni.
Mondjuk, en ugy csinaltam meg, hogy az ssh is csak a 81.182.x.x tartomanybol mukodjon, vagyis ha Matav ADSL hasznalo az illeto.
Aztan persze az Axeleronal azota kapok gyakran 81.183-as cimeket is :(
Sajna, elkuldeni nem tudom ezt a beallitast, sikerult eccer torolnom, most majd ujra allhatok neki, hogy beallitgassam :(
Minthogy tavoli gep, ezert elso korben ugy allok neki, hogy beirok a cronba 5 percenkenti futassal egy "/etc/init.d/iptables clear" sort :)
Igy max. ot perc mulva ujra hasznalhatom :) (Multkor emlekeim szerint beallitottam, olyan jol sikerult, hogy meg konzolon sem lehetett belepni, nemhogy belso halon vagy kivulrol :) akkor jott az otlet, hogy az allitgatas ideje alatt a cron kapcsolja ki idonkent...

[quote:589a5638c9="Celtic"]Multkor emlekeim szerint beallitottam, olyan jol sikerult, hogy meg konzolon sem lehetett belepni, nemhogy belso halon vagy kivulrol :) akkor jott az otlet, hogy az allitgatas ideje alatt a cron kapcsolja ki idonkent...

hát, ez nem semmi, ha iptablessel a konzolt is le tudod tiltani :)

[quote:7289b98038="Celtic"]Ez miert nem jo?
Van benne egy alapbeallitas is, amit csak finomitani kell:
http://www.szabilinux.hu/iptables/

Jó az!
Csak nem azokra a konkrét esetekre ad komplett megoldást,
amik a leggyakrabban felmerülnek, hanem túl általánosan minden esetre.

[quote:7289b98038="jeges"]Google-t es egyeb forrasokat mar probaltam, de amiket talaltam, azok nem tettek kristalytisztava az egesz INPUT OUTPUT FORWARD lancokat.

http://masz.pte.hu/firewalls.sxd
Itt talasz egy abrat, hogy következnek egymas után a lancok.
Egy hangyányit lett módosítva Kadlecsik József azon ábrája, amit az ipszilonon mutatott be.

[quote:82e90b888a="jeges"]Esetleg tudna-e valaki egy egyszeru de nagyszeru linket adni ahol szepen le van irva iptables es a default chainek.

Google-t es egyeb forrasokat mar probaltam, de amiket talaltam, azok nem tettek kristalytisztava az egesz INPUT OUTPUT FORWARD lancokat.

Hát akkor a legfontosabb link:
http://www.freebsd.org/cgi/man.cgi
azon belül is
http://www.freebsd.org/cgi/man.cgi?query=iptables&apropos=0&sektion=0&manpath=Red+Hat+Linux%2Fi386+9&format=html *

Magyarul a man iptables. Ennek kb. a második oldalán található, a táblák (TABLES) leírásában a szűrő (filter) bekezdésben:
INPUT lánc: ide azok a csomagok esnek be, amely csomagokat ennek a gépnek címeztek
OUTPUT lánc: ide pedig azok, amelyek erről a gépről indulnak kifele
FORWARD lánc: ide pedig a nem innen induló, nem ide érkező, de rajtunk átmenő csomagok fognak bepotyogni.

Azt már csak súgva merem mondani, hogy aki ennyi tudással rendelkezik, az nem biztos, hogy el kéne vállalja egy utazgatós távolságban levő gép ilyetén karbantartását. De ha már mindenképp, akkor javasolt először a saját, utazgatás nélkül elérhető gépen belőni mindezeket, és haverok gépét segítségül hívva tesztelgetni a dolgot. Mondjuk: először csak az OUTPUT lánc szabályait belőni jóra (INPUT default ACCEPT segítségével), és telnet/ssh/ftp/web/anyámkínja localhost módszerrel megnézni a saját gépen. Utána megfordítani a dolgokat - OUTPUT default ACCEPT, és belőni az INPUT szabályokat. Aztán együtt a kettőt. És a végén jöhetnek a haverok a wingyogyós gépeikkel, és teszteled a FORWARD láncot.
De persze majd a nagy Debian és iptables guruk kijavítanak, ha valamit nem jól írtam.

(*) Igen, a fenti link FreeBSD és nem Linux, meg RedHat9 és nem Debian, de asszem az iptables man-jának tök mindegy milyen oldalról érjük el, és melyik disztribúcióét (bár azért lehetnek finom különbségek abban, hogy pontosan milyen netfilter/iptables verzió).

Ha valóban tűzfalat és forgalomirányítót akarsz konfigurálni, ami védi a helyi hálózatodat a külsős csodáktól, mindenképp javaslom elolvasásra Michael D. Bauer könyvét, a "Szerverek védeleme Linuxszal" c. művet. A Kossuth kiadó jelentette meg magyarul, de nem kötelező megvenni, mert az OMIKK-ban is benn van, ki lehet kölcsönözni.
A könyv ugyan nem kifejezetten a tűzfalakkal foglalkozik, hanem a nyílt internetre és a DMZ-kbe kirakott szerverekről, "bástyagépek"-ről ír alapvetően, azonban rengetek hasznos dolgot lehet Linux alapú tűzfalakhoz is összeszedni belőle. Ami nagyon tetszett benne (és ami jól használható tűzfalhoz): alaprendszer védelmének növelése; iptables részletes ismertetése, bele értve a kapcsolat (session) alapú szűréseket is (a végében van egyébként egy példa szabájgyűjtemény kifejezetten tűzfalaknak); syslog trükkök, syslog elemzők -> automatikus riasztások; betörés detektáló rendszer, interitás ellenőrzők -> automatikus riasztások; biztonsági ellenőrzők és tesztelők, tippek az IT biztonsági auditokhoz.
Én a magam részéről a tűzfalunk biztonsági ellenőrzését, frissítését, és újrakonfigurálását az ott olvasottakat felhasználva végeztem el, és meg kell hogy mondjam, sok olyan szempontra, hibalehetőségre és módszerre is felhívta figyelmemet, amiket én nem ismertem. Szerintem ilyen heljzetekhez kötelező olvasmány.

[quote:34f82ea77e="borzsakb"][quote:34f82ea77e="Celtic"]Multkor emlekeim szerint beallitottam, olyan jol sikerult, hogy meg konzolon sem lehetett belepni, nemhogy belso halon vagy kivulrol :) akkor jott az otlet, hogy az allitgatas ideje alatt a cron kapcsolja ki idonkent...

hát, ez nem semmi, ha iptablessel a konzolt is le tudod tiltani :)

O, a tapasztalat sok mindenre kepes :) Megjegyzem, ezzel jo vigyazni, mert nagyon konnyu megcsinalni :( (persze akkor, ha nem akarod :)
Szoval, amig nem mukodik, addig inkabb bootolaskor ne toltse be...

A legalapvetőbb kimaradt:
netfilter.org

Angol nyelvű leírások a működésről, beállításról, hálózati ismeretekről.

[quote:67c94c1b9a="global77"][quote:67c94c1b9a="Celtic"]Ez miert nem jo?
Van benne egy alapbeallitas is, amit csak finomitani kell:
http://www.szabilinux.hu/iptables/

Jó az!
Csak nem azokra a konkrét esetekre ad komplett megoldást,
amik a leggyakrabban felmerülnek, hanem túl általánosan minden esetre.

[quote:67c94c1b9a="jeges"]Google-t es egyeb forrasokat mar probaltam, de amiket talaltam, azok nem tettek kristalytisztava az egesz INPUT OUTPUT FORWARD lancokat.

Ja, ertem. Vagy nem. Nekem nagyon bevalt, mondjuk nem volt szandekomban tul bonyolult, minden apro reszletre kiterjedo beallitast csinalni. (A szerveren van KAV, ami virus megis bejon, es megfertozi a belso halo windowsos gepeit, ahhoz semmi kozom. Igy befele csak az ssh volt Axelero ADSL IP-rol jovo usernek, kifele meg mindenki mehetett, ahova akart.) A LOG meg eleg huzos tud lenni, nekem neha csinalt napi 25M log filet :( Igy aztan csak az alpbeallitast kellett megspekelnem egy NAT-tal, meg az ssh-t engedelyezni bizonyos ip-tartomanyra. A tobbi ugyanaz maradt