iptables na ruterze w sieci domowej

[ds1978]

Witam,

tym razem chodzi o bezpieczenstwo rutera (D-Link DSL 300T) + neostarda.
Mam ustawienia fabryczne jesli chodzi o iptables:

Kod:

# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
CFG        tcp  --  192.168.1.2          anywhere           tcp dpt:www Records
Packet's Source Interface

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SY
N TCPMSS set 1360

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       icmp --  anywhere             anywhere           icmp destination-unr
eachable
DROP       icmp --  anywhere             anywhere           state INVALID

nie wydaje mi sie zeby to byly bezpiezne ustawienia (INPUT na Accept ..)
Jest to siec domowa (3 kompy, DHCP). Nie bardzo wiem jak zabrac sie za pisanie regulek.. czy ktos moze pomoc? Chodzi mi przede wszystkim o to zeby ktos z zewnatrz, kto zna moje IP, nie dostal sie do mojej sieci.


2. druga sprawa to, czy jesli mam ustanowione polaczenie SSH ze zdalnym serwerem, to czy mozliwe jest przechwycenie mojego IP (tego z ktorego lacze sie z internetem, neostrada) Domyslam sie ze jest to mozliwe przy uzyciu snifferow (?). Jesli tak jest rzeczywiscie, jak sie przed tym zabezpieczyc?

dzieki.

[h3x]

wg mnie masz przekierowany i otwarty port konfiguracji

[ds1978]

port konfiguracji otwarty i przekierowany to chyba niedobrze..

[tanaka]

Zaczne od tego (prosze wszystkich o wybaczenie) ze najpierw proponuje przemyslenie polityki bezpieczenstwa , czyli chociazby takie aspekty jak dostep z zewnatrz do routera, dostep z zewnatrz do serwera wewnatrz sieci , polityka wyjscia na swiat...itp itd...
Samo powiedzenie "zeby byl bezpieczny" nakazuje mi zaproponowac zakopanie go gleboko pod ziemia i w sejfie.
Umiejetnosc zdefiniowania problemu lub potrzeby to polowa sukcesu.
Zatem dla przykladu:
1 Chce zeby mozna sie bylo na niego logowac tylko z jednego komputera z sieci wewnetrznej i wogole z zew.
2. Chce zeby przekierowywal z zewnatrz port 22 i 80 na moj komputer bo chcialbym miec swoja stronka i ssh
3. Chce zeby wszyscy z sieci wewnetrzej mieli wyjscie na swiat.
.......
To duzo lepsze niz cytowanie konsoli, idac dalej nikt tego nie zrobi za ciebie ale podpowie droge.
A jak juz cytujesz konsole gdzie sa twoje regolki , to chociaz opisz co chciales osiagnac, bo ja nie wiem czy autor mial na mysli ACCEPT na wszystkich lancuchach czy tylko mu sie pomylilo.
Pozdrawiam

edit.
Jak jestes zalogowany gdzies tam to pakiety po sieci kraza , a ich naglowki nie sa zaszyfrowane, dalej dopowiedz sam...

PS. co do iptables ......GOOGLE ZAMKLI

[ds1978]

Witam,

dzieki za te odpowiedz, Tanaka.

Co do mojej definicji "bezpiecznego rutera". Chcialbym zeby nikt z zewnątrz nie mial dostepu. Co do sieci wewnetrznej: w moim przypadku kazdy moze miec dostep, ale chetnie bym zobaczyl jak ograniczac dostep do sieci wewnetrznym kompom.

POlityka INPUT jest na ACCEPT. Domyslam sie ze powinno byc DROP. Ale co otworzyc? Pakiety z zewnatrz musza do mnie jakos trafiac przeciez.. (np. jesli lacze sie z serwerem zdalnym przez ssh..)

Google nie zamkli znalazlem nawet ciekawy, PRZYSTEPNY tutorial po polskiemu:
http://zsk.wsti.pl/publikacje/iptabl...epnie.htm#c4_3
a takze ten:
http://users.fulladsl.be/spb11947/bm...slnetwork.html

Kod:

Jak jestes zalogowany gdzies tam to pakiety po sieci kraza , a ich naglowki nie sa zaszyfrowane, dalej dopowiedz sam...

rozumiem ze nie jest problemem namierzyc moje IP.
probowalem zrobic to z wireshark:

Filter:
host xx.xx.xx.xx and port eq 22
Capture->start
i nic, to samo z portem 80 i 53..

[tanaka]

super, i teraz popatrz na jeden fragment z linka ktory wkleiles:

Pakiet, którego celem nie jest nasza lokalna maszyna, a otrzymany został z jednego z interfejsów sieciowych odbędzie swoją drogę przez:

* łańcuch PREROUTING tablicy raw
* łańcuch PREROUTING tablicy mangle
* łańcuch PREROUTING tablicy nat (tylko pakiet tworzący nowe połączenie)
* łańcuch FORWARD tablicy mangle
* łańcuch FORWARD tablicy filter
* łańcuch POSTROUTING tablicy mangle
* łańcuch POSTROUTING tablicy nat (tylko pakiet tworzący nowe połączenie)


w tym momencie wczuj sie w role routera, dostajesz pakiet i nie jestes jego odbiorca, bo jest nim przykladowo pan krzysiu.
jest to kazdy pakiet ktory przechodzi przez router i nie jest adresowany bezposrednio do niego ani nie jest jego zrodlem.
Widzisz wiec ze nie ma tu lancucha INPUT co znaczy ze nawet jak input bedzie na drop to pakiety beda przechodzic do sieci wewnerznej i odwrotnie.
Co do pomyslu zeby zrobic INPUT na DROP ...super ale popatrzmy na link ktory wkleiles, wynika z niego ze lancuch INPUT bierze udzial tylko w jednym:

Pakiet, którego celem jest nasza lokalna maszyna, otrzymany z interfejsu sieciowego odbędzie swoją drogę przez:

* łańcuch PREROUTING tablicy raw
* łańcuch INPUT tablicy mangle
* łańcuch INPUT tablicy filter

No wiec teraz wiemy ze przez INPUT leci tylko to co wysylasz bezposrednio do routera, tak wiec musisz sprawdzic w jaki sposob dostajesz sie do routera. Telnet, ssh , www, htttps?
Kazdy z nich ma inny port, wiec dowiedz sie jaki i wtedy dasz INPUT na DROP a dostep dostep ewentualny poprzez dany port.

Dla jasnosci patrz narazie na INPUT, FORWARD i OUTPUT , nie przejmuj sie tablicami , jesli ich nie zdefiniujesz to domyslnie jest uzywana tablica filter.

PS.
Ach wlasnie nie dopisalem, ze aby komputery z sieci wewnetrzej posiadajace adresacja 192.168.X.X lub 10.X.X.X mogly sie komunikowac ze swiatem to nie dosc ze FORWARD dla nich musi byc na ACCEPT to jeszcze trzeba wlaczyc (Network Address Translation) NAT.

Jest to jedyna tablica ktora musisz zmodyfikowac aby komunikacja sieci wewnetrzej ze swiatem przebiegala bezproblemowo.
W tym celu zastosuj SNAT zamiast MASQUARADE. Wszystko jest ladnie opisane w linkach ktore wkleiles.
Testuj sprawdzaj i pisz na forum
powodzenia

[tanaka]

niestety nie dalo sie edytowac , ale proponuje tez poczytac watek :
http://hack.pl/forum/thread2812,problem_z_apf.html