Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2008-12-30 00:05:52

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

regułki iptables

Witam dostalem małe zadanko i nie wiem czy dobrze zrobiłem:

Kod:

#!/bin/sh

#ścieżka do iptables
#najlepiej sprawdzić komenda:
#whereis iptables
#
IPT=/sbin/iptables

#kasujemy wszytskie reguły
$IPT -F

#ustawiamy domyślną politykę
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

#regula pierwsza
#Ograniczyć maksymalną wielkość pakietu ICMP-echo do 1kB
echo "Reguła pierwsza."
$IPT -A INPUT -p icmp --icmp-type echo-request -m length --length 1000: -j DROP

#reguła druga
#Ograniczyć do 2 na minutę liczbę pakietów ICMP-echo
echo "Reguła druga."
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/min -j ACCEPT

#reguła trzecia
#Ograniczyć żądania http do 1kB wielkości i do 5 na minutę
echo "reguła trzecia."
$IPT -A INPUT -p tcp --dport 80 -m length --length :1000 -m limit --limit 5/min -j ACCEPT

#reguła czwarta
#Logować pakiety, które naruszają regułę numer 4, ale ich nie usuwać
#tego nie kapuje
echo "regula czwarta."

#reguła piąta
#Zmienić wartość pola TTL dla każdego pakietu na 56
echo "reguła piąta."
$IPT -t mangle -A PREROUTING -j TTL --ttl-set 56

#regula szósta
#Odrzucić pakiety większe niż 4 kB zwracając komunikat błędy ICMP-net-unreachable
echo "reguła szósta."
$IPT -A INPUT -m length --length 4000: -j REJECT --reject-with icmp-net-unreachable

#reguła siódma
#Zablokuj wychodzące połączenia SMTP
echo "reguła siódma."
$IPT -A OUTPUT -p tcp --dport smtp -j DROP

#reguła ósma
#Wykorzystać moduł comment w celu opisania reguł zapory sieciowej
#odchaszować tylko podczas sprawdzania:
echo "regułą ósma."
$IPT -A INPUT -p icmp --icmp-type echo-request -m length --length 1000: -j DROP -m comment --comment "regula pierwsza."
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/min -j ACCEPT -m comment --comment "regula druga."
$IPT -A INPUT -p tcp --dport 80 -m length --length :1000 -m limit --limit 5/min -j ACCEPT -m comment --comment "regula trzecia."
#błąd: Can't specyfity TTL option  twice
#$IPT -t mangle -A PREROUTING -j TTL --ttl-set 56 -m comment --comment "regula piata."
$IPT -A INPUT -m length --length 4000: -j REJECT --reject-with icmp-net-unreachable -m comment --comment "regula szosta."
$IPT -A OUTPUT -p tcp --dport smtp -j DROP -m comment --comment "regula siodma."

#reguła dziewiąta
#Wykorzystać moduł pkttype w celu zablokowania pakietów ICMP-echo wysyłanych na adres rozgłoszeniowy. Wcześniej należy zdjąć blokadę jądra systemu:
echo "reguła dziewiąta."
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
$IPT -A INPUT -p icmp --icmp-type echo-request -m pkttype --pkt-type broadcast -j DROP

I wie ktoś może jak posprawdzac konkretne regułki??

Offline

 

#2  2008-12-30 00:26:47

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: regułki iptables

hping powinien wystarczyć. Bardzo dobre narzędzie. A co do regułki numer 4, to chodzi o -j LOG? Loguje, ale pakiet po jej osiągnięciu zostaje przesłany do kolejnej regułki - nie kończy swojej przygody w łancuchu. No i nie napisałeś co w ogóle mają naruszać.

Ostatnio edytowany przez urug (2008-12-30 00:27:23)

Pozdrawiam, Tomek

Offline

 

#3  2008-12-30 00:59:22

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: regułki iptables

No tak ale regulka 4 jest dla mnei nie znan:(
I jestem ciekaw czy można jakoś odczytać regułkę numer 4.
Nieststy dostałem tylko takie pytania i nic więcej.

Offline

 

#4  2008-12-30 12:33:39

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: regułki iptables

yyyy a jaka jest regula 4? "echo 'regula czwarta'"?

Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#5  2008-12-30 15:39:03

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: regułki iptables

no właśnie o to chodzi że nie wiem :(.
Podejrzewam że chodzi tu o wstawienie reguły w miejsce 4 tak aby ta co była czwarta stała się piątą, a wtedy ta czwarta ma za zadanie logować więc ma być prawie taka sama tylko że na końcu ma być LOG.
Ale zaznaczam to są moje przypuszczenia.
Ja w zadaniu miałem :

Kod:

Logować pakiety, które naruszają regułę numer 4, ale ich nie usuwać

Offline

 

#6  2008-12-30 15:54:40

  grzegorz.85 - Członek DUG

grzegorz.85
Członek DUG
Skąd: Ostrołęka
Zarejestrowany: 2007-07-12
Serwis

Re: regułki iptables

A może ktoś coś mieszał z numerami reguł, i nie dopatrzył się, że po zmianach reguła 4 ma korzystać z reguły 4 ;>

Offline

 

#7  2008-12-30 16:37:37

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: regułki iptables

Ty się tak nie ciesz bo to będziesz sam robił :P nie ma to jak super prowadzący co wie że linux to system operacyjny i na tym koniec :)

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)