Forum Debian Users Gang

figa · 2009-11-29 22:23:42

Próbuję zrobić własny serwer bo chyba tak się to nazywa :) .
Chodzi mi o to żebym mogła z internetu wejść na mój domowy komputer .

Przebrnęłam przez Howto na forum Ubuntu

http://forum.ubuntu.pl/showthread.php?t=44987 i przez to
http://forum.ubuntu.pl/showthread.php?t=59982 i jeszcze przez to
http://www.dipol.com.pl/do_czego_slu...wac__bib93.htm
dzięki twórcom uff !!

Teraz jednak już nie wiem co dalej.

Mam chyba działający serwer glftpd do którego już udaje mi się dostać i z konsoli poleceniem ftp localhost i z Firefox za pomocą polecenia ftp://user@127.0.0.1 - po podaniu hasła
To jednak jest dostęp wewnętrzny na tym samym komputerze.
Stworzyłam konto na dyndns i stworzyłam tam hosta, dodałam go o dziwo wreszcie z powodzeniem nawet do mojego rutera Linksys w zakładce ddns.

Wgrałam też pakiet ddclient i do niego wpisałam wygenerowany na stronie dyndns tekst konfiguracyjny.

To chyba działa bo IP w profilu hosta na tej stronie zgadza się z IP mojego komputera a o to chodzi.

Teraz jak wpisuję w przeglądarkę adres tego hosta z Dyndns to nie otwiera się nic ale to pewnie dlatego że robię to na tym samym komputera na którym jest ten serwer .

Próbowałam z drugiego mojego komputera ale to tez pewnie się nie da bo drugi komputer do internetu jest połączony przez tą samą bramkę Linksys tyle że bezprzewodowo .

Próbowałam połączyć się z Virtualboxa przez połączenie FTP ale próbuje łączyć, pokazuje się po wpisaniu w opcjach adresu hosta z dyndns prawidłowy nr IP mojego komputera / sprawdzałam / ale nie łączy się tylko wyskakuje komunikat że przekroczony czas połączenia i następnie komunikat OFFLINE.

Moje pytanie brzmi :
1.Jak mam sprawdzić czy mogę się połączyć z internetu z tym serwerem.? czy mogę to zrobić tylko z zewnętrznego komputera / spoza mojej bramki /.
2.Czy z tym moim serwerem powinnam mieć możliwość połączyć się za pomocą strony internetowej / za pomocą adresu konta hosta ze strony dyndns/ lub FTP ? chyba tak.
3. Czy do tego mojego serwera aby się dostać trzeba będzie podawać login i hasło i jakie ? czy takie które mam na stronie dyndns czy jakieś inne ? / np. usera serwera? którego mam /

Może to lamerskie pytania ale już mam głowę kwadratową od tego czytania o rzeczach o których nie mam pojęcia :) więc jak ktoś by mial troszkę wolnego czasu i chęci to proszę o oświecenie :)

Jacekalex · 2009-11-30 00:00:51

A czy na Linksysie jest przekierowanie portu zewnętrznego na adres i port serwera ftp schowanego za Linksysem ?

Bo przy translacji adresów (Linksys) trzeba przekierować port na adres IP sieci lokalnej.
Jeżeli chodzi o połączenie - to z bardzo niewielu miejsc będzie można się łączyć - tylko z tych miejsc - gdzie jest internet ;-)
Pod warunkiem - że oba firewalle - na routerze i na kompie, serwer ftp i przekierowanie portu z routera będą prawidłowo skonfigurowane.

W serwerze ftp -sprawdź - czy słucha tylko nas adresie lokalnym 127.0.* - czy na wszystkich adresach - poleceniem

Kod:

sudo lsof -i

- dostęp na wszystkich powinien wygladać tak:

Kod:

:~#sudo  lsof -i| grep ftp
pure-ftpd 3114     root    4u  IPv4  12081      0t0  TCP *:ftp (LISTEN)
pure-ftpd 3114     root    5u  IPv6  12083      0t0  TCP *:ftp (LISTEN)
:~#

gdzie * oznacza dowolny adres IP.

Ponadto - radziłbym szyfrowane ftp, lub najlepiej ssh - sftp - aby ktoś niemile widziany nie podłączył się kiedyś do tego serwerka.

A przekierowanie łatwo można w Linksysie wyklikać - w zakładce port forwarding - o ile się nie mylę.
Na forum Ubuntu był ten temat: http://forum.ubuntu.pl/showthread.php?p=674304
Proszę nie wysyłać uwag na biuro@cośtam.pl ani biuro@xxxxxxxxxxxx.pl ;)

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2009-11-30 00:50:04)

figa · 2009-11-30 10:41:28

Witaj
Dzięki za odzewy i na Ubuntu i tutaj :) biuro@cośtam sobie odpuściłam :)

Teraz jestem na etapie tego serwerka :)

Zmieniłam serwer z glftpd na vsftpd / może łatwiej z nim będzie dojść do ładu /
Nie wyrzuciłam go całkiem tylko zmieniłam nazwę katalogu jail.
Nowy serwer uruchamia mi się i w przeglądarce i w Nautilusie

Mam tak

Kod:

kiki@kiki:~/Pulpit$ sudo  lsof -i| grep ftp
[sudo] password for kiki: 
vsftpd    1977  root    3u  IPv4   6786      0t0  TCP *:ftp (LISTEN)
gvfsd-ftp 3509  kiki    6u  IPv4  24754      0t0  TCP localhost:39311->localhost:ftp (CLOSE_WAIT)
kiki@kiki:~/Pulpit$

Kod:

kiki@kiki:~/Pulpit$ sudo iptables -L -n
[sudo] password for kiki: 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
kiki@kiki:~/Pulpit$

więc nie tak dokładnie jak podajesz , to nie wiem czy dobrze czy źle :( czy tylko w połowie dobrze bo nie pokazuje IPv6

A przekierowanie łatwo można w Linksysie wyklikać - w zakładce port forwarding - o ile się nie mylę.

nie znalazłam takiej zakładki , znalazłam zakładkę DDNS i tam wpisałam adres hosta ze strony Dyndns i mi go przyjął -
Czy o to chodzi ?

Co do szyfrowania to temat przede mną :)
Zakładam jednak że dostęp będzie możliwy tylko do określonego miejsca na dysku .
W moim przypadku do katalogu FTP który stworzyłam w moim Home i wpisałam do pliku konfiguracyjnego vsftpd . Czy tak ?

No i jeszcze jedno. Chcę aby dostęp do serwera był po podaniu loginu i hasła lub co najmniej hasła.

Ostatnio edytowany przez figa (2009-11-30 12:46:32)

life · 2009-11-30 12:28:19

Na routerze polecam ustawić DMZ wówczas cały ruch na zewnętrzny IP będzie kierowany do adresu z DMZ.
Ważne żebyś miał publiczne IP.

zamiast FTP polecam samo SSH jako klienta na windowsie do transferu plików polecam WinSCP, SSH bezpieczniejsze niż zwykły FTP.

figa · 2009-11-30 13:47:16

Na routerze polecam ustawić DMZ

Ustawiłam i podałam tam adres bramki 192.168.1.1 to chyba dobrze .
W każdym razie łączy z internetem.

Jacekalex · 2009-11-30 19:18:42

Co do vsftpd - radziłbym uważać z konfigiem - widzę w nim "syndrom dovecota" - żeby coś w nim wyczytać - trzeba wywalić komentarze.
Co do DMZ - jeśli tam nie ma usług dostępnych publicznie - nie radziłbym.
raczej przekierować port na routerze - wszystkie routery mają taką opcję - aby połączenie przychodzące z internetu na port xx skierować np. do hosta 192.168.59.112 port yy. - zwykłe przekierowanie.

Ftp potrzebuje co najmiej 2 portów 20 i 21 w trybie aktywnym (w pasywnym znacznie trudniej skonfigurować go za natem)- i do dostępu do chronionego katalogu w Linuxie nadaje się - jak słoń do składu porcelany.

Znacznie lepsze będzie ssh - konkretnie sftp -czyli jeden port docelowy, defaultowe szyfrowanie, logowanie klucz/hasło - na Win$ można go się połączyć przez putty (ssh) i winscp czy kilka klientów ftp - np. filezilla, fireftp do protokołu sftp, w Linuxie np. sshfs.

A plik konfiguracyjny serwera ssh - to 1/2 konfigu vsftpd.

Do tego można go zabezpieczyć przez denyhosts, sshguard, fail2ban lub skrypt sshwatch.

Serwer ftp - warto stosować tylko wtedy - gdy nic innego się nie da uruchomić.
To dość stara technika - z czasów - gdy nikt nie myślał o firewallach czy NAT,
i stąd są kłopoty z np. z dostępem do ftp za NAT'em.

Weź lepiej ssh - połowa roboty, lepszy skutek i pancerne (w porównaniu z ftp) bezpieczeństwo.
http://jakilinux.org/aplikacje/sztuczki-z-ssh/
http://czytelnia.ubuntu.pl/index.php/2009/03/13/openssh_czesc1/
http://czytelnia.ubuntu.pl/index.php/2009/03/24/openssh-czesc2/
http://stary.dug.net.pl/faq/faq-3-140-Blokowanie_ss … logowania.php
http://dug.net.pl/tekst/65/ssh___klucze_rsa_(mozliwosc_logowania_bez_hasla)/

A jeśli już musi być ftp - to mnie się udało dojść do ładu tylko z pure-ftpd - ma najprostszą konfigurację, i niezłe bezpieczeństwo (jak na ftp oczywiście).

Taka jest moja opinia.

Pozdrawiam

Ostatnio edytowany przez Jacekalex (2009-11-30 19:39:01)

figa · 2009-11-30 23:06:59

ok, posłucham Was i robię serwer ssh :)

zainstalowałam więc paczkę ssh , putty i dodam jeszcze ten adres
http://blog.szymi.com/rozne/2009/05/06/przekierowanie_portow.html
który jest dla mnie najbardziej czytelny w opisie instalacji i bardzo mi pomógł :)

Chyba mi się udało. Miałam tylko problem z zalogowaniem się na ssh ale po wielu próbach doszłam do tego że trzeba wpisać użytkownika Ubuntu i hasła do niego .

Ponieważ mam na komputerze tylko siebie jako użytkownika więc wywala mi dostęp do wszystkiego normalnie.
Czy jakieś ograniczenie można wprowadzić tylko poprzez wprowadzenie nowego użytkownika ?
Użyłam do połączenia programu gFTP bo jest dla mnie przyjaźniejszy niż putty - z konsolą nie jestem za bardzo zaprzyjaźniona :(

Chciałabym czasem dać dostęp komuś do moich jakichś plików ale nie do hulaj dusza piekła nie ma :)

Udało mi się też połączyć z serwerem FTP który wcześniej zrobiłam.
W ustawieniach bramki dodałam 2 porty 21 i 22, 21 dla FTP a 22 dla ssh .
Póki co na razie mam ssh na login i hasło a FTP anonymous ale z dostępem tylko do 1 katalogu. :)

Tak że następny etap to próba z obcego komputera bo jak na razie to wszystko działa w obrębie jednego.

Jeszcze nurtuje mnie pytanie czy trzeba wiele konfigurować na obcym komputerze czy np. FTP powinno działaś od razu ?

Ostatnio edytowany przez figa (2009-12-01 00:16:20)

Jacekalex · 2009-12-01 22:09:53

Co do ftp - to przerabiałem kilka serwerów i klientów ftp - i na połączeniach nieszyfrowanych działają - ale po włączeniu szyfrowania zaczynają się schody.

Zazwyczaj zawsze - działał (z szyfrowaniem) tylko filezilla, czasem total-comander, inne raczej przez przypadek.

Ftp powinno działać - ale ....? jak nie działa - to logi i kombinowanie.

Gratuluję zainstalowania vsftpd - u mnie nic się z tym cudem nie chciało łączyć -
przy proftpd dwa dni walki - udało się podłączyć curlftpfs przez ssl,
jedyny - który ma w miarę prostą konfigurację - szyfrowanie i chrootowanie userów w folderach ustawiłem w około 20 min. - to pureftpd, można nim zarządzać przez pureadmin.

Ale to - czy dany klient połączy się z serwerem - to totolotek - zawsze poza tym trzeba kombinować z ustawieniami klienta ftp.

Co do ograniczeń przy ssh - można ograniczyć dla danego usera łączność do samego sftp (protokół sftp jest częścią ssh) - ograniczenie usera można uzyskać również przez ograniczenie powłoki (tu ujawnia się jedna wada ssh - do zalogowania usera potrzebne jest - aby miał jakąś powlokę aktywną) - czy do sftp też to działa - nie jetem pewien.

W każdym razie linux to linux - montowanie folderów z opcją bind, powłoki chroot i jail - można dać jakiemuś userowi dostęp do wybranych zasobów bez ryzyka dla systemu i rzeczy - których user zobaczyć nie powinien.
Jest to trochę zabawy - ale wykonalne i zadziała.

Poradzisz sobie, - choć dodanie nowego usera może być konieczne.
A doświadczenie - bezcenne, zwłaszcza - jak trzeba na czymś zagiąć Admina od poczty:).

Pozdrawiam
;)

Ostatnio edytowany przez Jacekalex (2009-12-07 05:33:09)

figa · 2009-12-01 23:09:07

:) jeszcze nie wiadomo do końca czy działa bo jak na razie nie próbowałam z klienta. Jak sprawdzę to napiszę czy mi sie udało do końca.
Z tym vsftpd nie było trudno , korzystałam z tego http://forum.ubuntu.pl/showthread.php?t=70367 wątku , trudniej było z glftpd, ale go odinstalowałam. Nic więcej nie robiłam poza oczywiście zmianami w bramce , dodaniem portów 21 i 22 , zmienieniem adresu IP komputera na stały w ustawieniach wicd , dodaniem konta do dyndns i wstawieniem jego adresu do konfiguracji bramki w zakładce DDNS.
Dopiero te zmiany w bramce ostatecznie powinny umożliwiać połaczenie.

Bardzo dziękuję za pomoc i również pozdrawiam. :)

Jacekalex · 2009-12-01 23:56:05

Na razie nie dziękuj - podziękujesz - jak będzie wszystko działało.

Bo na razie - to niby wszystko zrobione - ale ile jeszcze wyjdzie "w praniu" - diabli wiedzą.

Radziłbym też pewien trik z firewallem: http://stary.dug.net.pl/faq/faq-3-140-Blokowanie_ss … logowania.php

I przeniesienie ssh z portu 22 na inny - najlepiej wylosowany w totolotka - ponieważ ssh jest ulubionym celem ataków z siłowym łamaniem hasła (podobnie jak ftp) a biedny serwerek ssh nikogo nie wpuści - prędzej umrze - niż wpuści łobuza (ale zazwyczaj umiera razem z komputerem).
Dlatego dobrze go wesprzeć drobną pomocą ze strony starego, dobrego iptables - które z różnego rodzaju hakerami i skrypciarzami radzi sobie dobrze, fachowo i skutecznie ;-).

Ftp radziłbym zabezpieczyć w ten sam sposób i z tych samych powodów -należy jednak pamiętać - że po zmianie portów w serwerze ftp część klientów ftp zgłupieje, i z niczym się nie połączy.

Ogólnie - gdyby na routerze był linux z iptables - tam najlepiej byłoby zrobić taką dynamiczną zaporę - ktora po np. trzech próbach nowego połączenia na dowolne porty banuje adres IP na 15 minut, lub godzinę.

Pozdrawiam
;)

figa · 2009-12-02 11:39:20

Ogólnie - gdyby na routerze był linux z iptables

mam komputer z systemem Ubuntu - Linux a iptables chyba domyślnie jest instalowany z systemem
Przeczytałam podany adres ale nie wiem gdzie tą regułkę mam dopisać - do jakiego pliku? czy wpisać ją w terminalu ?

Jak dobrze myślę to graficzną nakladką na iptables jest firestarter więc może tam trzeba coś dodać ? w związku z powyższym ?

Rozumiem że jak zrobię to zabezpieczenie w iptables to będzie to działać ogólnie blokując dostęp do mojego komputera i przez FTP i przez ssh bo portów to nie będę zmieniać z tego powodu że jestem za zielona i później sama nie będę wiedzieć jak wejść z innego komputera do siebie.

Jacekalex · 2009-12-02 15:31:29

Firestarter bardzo miesza w regułach -są potem mało przejrzyste.

Zasadniczo nie powinno być kłopotu z dorzuceniem tych reguł w skrypcie - który startowałby ze startem systemu, jednak Ludzie - którzy włączają różne usługi na serwerach - zazwyczaj tworzą własne skrypty do iptables, na forum Ubuntu jest fajne howto do podstaw, temat też był wałkowany na wszystkie możliwe sposoby - ja sam pisałem o tym chyba z 20 razy, i na forum Ubuntu i tutaj - na Dug'u.

Najprościej zrzucić obecną konfigurację do pliku - poprzez

Kod:

sudo iptables-save

potem do zrzuconej do pliku konfiguracji dopisać własne reguły , następnie przerobić ją na skrypt.
I wrzucić ten skrypt do /usr/local/bin - stworzyć dowiązanie do /etc/network/if-up.d/
albo dodać do skryptów startowych.

Natomiast w firestarterze, czy ufw - tam się zbyt wiele nie osiągnie, te programy są ograniczone przez twórców - do niezbędnych funkcji, ale zapisują je w setkach reguł - które są zupełnie nie czytelne.

Radziłbym skrypt do iptables - ja na takim "jadę" dwa lata - i nie wiem - co to problemy.

Co do portu dla ssh - dodatkowa linia zabezpieczenia - jeśli ten inny port przekierujesz - tak - jak 22 , i na kompie tez otworzysz odpowiedni port - problemu nie będzie.

Ważne natomiast - aby taki port nie był portem jakiejś znanej - typowej usługi.
Najlepiej przestaw to na chwilę w domu, i przetestuj nmapem - jakiego portu nie znajduje w kilku opcjach domyślnego skanowania.

Jeśli na routerze masz jakiegoś Linuxa - np. tomato czy coś podobnego - to można taki myk z blokowaniem po kilku próbach można zrobić na routerze, jeśli ma domyślny soft linksysa, czy np. dlinka - to trudno - wtedy trzeba w Ubuntu.

Najlepiej pokombinuj z iptables - po każdej zmianie wejdź z FF na stronę http://www.upseros.com/portscan.php lub podobną - i zobaczysz otwarte - typowe porty - np. ftp.

Możesz też poprosić kogoś znajomego - aby uruchomił nmapa lub nessus-demona - i w ten sposób dokładnie sprawdzić swój firewall.

Uszy do góry - nie święci garnki lepią. :)

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2009-12-02 15:32:12)

figa · 2009-12-02 18:15:53

zainstalowałam na XP którego mam w Virtualboxie program SmartFTP i tam próbuje się połączyć z FTP za pośrednictwem anonymous i mam to

Kod:

[17:48:47] SmartFTP v4.0.1072.0
[17:48:47] Rozwiązywanie nazwy hosta "xxx.dyndns.org"
[17:48:47] Łączenie z xxxxxxxx Port: 21
[17:48:47] Połączono z xxx.dyndns.org.
[17:49:08] Nawiązane połączenie zostało przerwane przez oprogramowanie zainstalowane w komputerze-hoście.
[17:49:08] Serwer zamknął połączenie
[17:49:08] Połączenie nie udało się. Oczekiwanie na ponowienie (30s)...
[17:49:38] Connection attempt 2...

no i tak w kółko czyli nie połączyłam się z winy jakiegoś oprogramowania które nie dopuszcza do mojego komputera - co to może być przeważnie bo czytam wujka googla i różne powody tam podają :(

Zrobiłam też kopię ustawień iptables twoi poleceniem ale nie wiem gdzie to się zapisało ? gdzie ten plik jest ?
Czy ten plik jest oryginalnym plikiem który mialam skopiować iptables.xslt w katalogu usr/share/iptables ?

Resztę rad będę "rozgryzać" dopiero :) pozdrawiam

PS

Nie wiem w czym tkwił problem ale ponieważ i gFTP mnie nie łączył więc zresetowałam komputer i po resecie Smart FTP łączy mnie z moim FTP. Tak że chyba póki co nie jest źle :)

Sprawdziłam też w Smart FTP połączenie ssh i też działa . Trzeba tylko zmeiniać port z 21 na 22 i do ssh wprowadzić hasło i login ten który mam do systemu.

Teraz jeszcze kwestie bezpieczeństwa to co pisałeś do iptables muszę zrobić.

Ostatnio edytowany przez figa (2009-12-02 19:32:47)

Jacekalex · 2009-12-03 01:55:33

Nie wiem - dlaczego vsftpd odrzuca połączenie.
Logi vsftpd powinny wyjawić prawdę.

Poza tym - najpierw sprawdź filezillą! - to najlepszy klient ftp - łączy się prawie zawsze.

Poza tym - vsftpd - mnie się nie udało nigdy uruchomić go - jak należy.
Natomiast jedynym - który u mnie działa - jest pure-ftpd, najprostsza konfiguracja, chrootowanie userów i najprostsze ustawianie szyfrowania.
Działa nawet z firefoxa ftp://user@host/.

Kiedyś udało mi się to samo z proftpd - po 3dniach kombinowania (to było na Ubu 8.10 - zdechło po aktualizacji).

Generalnie - kombinujesz z rzeczami - które informatykom często sprawiają problemy.
Podtrzymuję radę - ssh na inny port - np. w konfigach i firewallach zmień 22 na np. 7925 lub inny.

Co do triku z iptables - spróbuj najpierw do istniejącej konfiguracji dorzucić reguły z wątku http://stary.dug.net.pl/faq/faq-3-140-Blokowanie_ss … logowania.php - dopasuj numery portów, i zobacz z virtualboxa - czy to działa.

Spróbuj netcatem, telnetem albo najlepiej smartftp nawiązywać kilka połączeń -5 do chronionego portu, - podając złe hasło - po 3 próbie port powinien być zablokowany.

Zrób kopię ustawień iptables tak:

Kod:

sudo iptables-save >>firewall.txt

- wtedy będzie tam - gdzie zechcesz - zwykłe przekierowanie wyniku do pliku - podstawy basha.

Idzie Ci nieźle - poradzisz sobie - trzeba trochę pokombinować, ale zawsze w końcu się udaje.

Uszy do góry.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2009-12-03 02:03:03)

figa · 2009-12-03 11:06:52

Co do triku z iptables - spróbuj najpierw do istniejącej konfiguracji dorzucić reguły z wątku http://stary.dug.net.pl/faq/faq-3-140-Blokowanie_ss … logowania.php - dopasuj numery portów, i zobacz z virtualboxa - czy to działa.

ok ale dalej nie wiem :( który plik iptables mam zmienić i dodać do niego te reguły bo przepatrzyłam wszystkie z nazwą iptables i nie ma tam jakiegoś conf czy coś w tym typie :( chyba że mam to normalnie podać w konsoli al wtedy nie będę wiedzieć jak to ewentualnie usunąć :(

Co do portu to mogę zmienić na np 7925 ale wtedy u kogoś na komputerze jak będę chciała wejść na swój serwer będę musiała pewnie w bramce dodać - otworzyć ten port ? czy on jest zawsze dostępny ?

Patrzyłam na listę portów http://www.t1shopper.com/tools/port-scanner/port-nu … gnments.shtml ale jest ich tam tyle a ja się na tym nie znam :(, domyślam się tylko tyle że musi być sftp i do ftp - ftp.

Ten co Ty podałeś jest chyba jako dowolny czy jak bo jest

# 7914-7931 Unassigned

Zainstalowałam filezillę i wszystko chodzi jak należy :) zarówno ssh jak i ftp . Łączę się bez problemu z jednym i drugim serwerem.
Próbowałam przesyłać dane i też jest wszystko OK.
Tak że dzięki Waszym poradom a szczególnie Twoim jestem już bliżej końca "zadania".
Pozdrawiam :)

PS
dopadłam kolegę w innym mieście który sprawdził mi te moje połączenia i póki co wszytko działa i ftp i ssh :)

Ostatnio edytowany przez figa (2009-12-03 21:46:03)

Jacekalex · 2009-12-03 22:37:27

http://forum.ubuntu.pl/showthread.php?t=103825 - podstawy.
Dodałbym umieszczenie skryptu w /usr/local/bin i podlinkowanie w /etc/network/if-up.d - to najlepszy sposób, lub w /etc/init.d jak w tamtym przepisie - z tym , że nie poziom uruchomienia 90 - jak tam podali - ale np. 5 - u mnie tak działało przez 2 lata -było ok.

Konfiguracja firewalla - zrzucić do pliku jak napisane wyżej - do każdej regułki dodać z przodu iptables - przy domyślnych politykach usunąć cyfry i nawiasy kwadratowe - a z przodu dodać iptables -P - dodać do nich reguły - ze sposobu - ale najlepiej do wszystkich portów - nie tylko 22 - na dole.

Tworzenie skryptu opisali na forum Ubu.
I tutaj też: http://www-users.mat.uni.torun.pl/~minaq/iptables.pdf
A na wszelki wypadek - na forach Linuxowych w szukajki wkleić iptables - jest tam duuuuużoooo różnych dyskusji, z których można się sporo dowiedzieć.

Wada skryptu - nie siedzi w trayu - i nie wyświetla komunikatu i ikonki - jak firestarter.

A port dla ssh - np. ostatnio w totolotku wylosowali 2614 - nadaje się - jak każdy inny. Lista portów i typowych usług jest w /etc/services.
Byle to nie był port jakiejś popularnej usługi - typu np. baza danych pgsql (5432), i nie był z zakresu root - porty do 1024, i nie blokował innej usługi - która też korzysta z tego numeru portu.

Port dowolny - byle go było trudno namierzyć skanerem takim jak nmap

Rada - jeśli włączysz na jakimś porcie - a nmap (zenmap) z localhosta na trzech różnych skanowaniach domyślnych nie znajdzie tego portu - to wybór będzie idealny.

Jeśli zrzucisz konfig z firestartera - to radzę go przejrzeć - jest w nim dużo zbędnych wpisów.

Pozdrawiam
;)

Ostatnio edytowany przez Jacekalex (2009-12-07 05:37:43)

figa · 2009-12-05 11:02:03

poczytam co radzisz a w moim iptablesie jest tylko tyle

Kod:

 # Generated by iptables-save v1.4.4 on Sat Dec  5 10:58:34 2009
*nat
:PREROUTING ACCEPT [1:362]
:POSTROUTING ACCEPT [733:46770]
:OUTPUT ACCEPT [733:46770]
COMMIT
# Completed on Sat Dec  5 10:58:34 2009
# Generated by iptables-save v1.4.4 on Sat Dec  5 10:58:34 2009
*mangle
:PREROUTING ACCEPT [31784:44001265]
:INPUT ACCEPT [31784:44001265]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29423:1853007]
:POSTROUTING ACCEPT [29514:1865573]
COMMIT
# Completed on Sat Dec  5 10:58:34 2009
# Generated by iptables-save v1.4.4 on Sat Dec  5 10:58:34 2009
*filter
:INPUT ACCEPT [31784:44001265]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29423:1853007]
COMMIT
# Completed on Sat Dec  5 10:58:34 2009

Znalazłam też taki poradnik http://linio.terramail.pl/vsftpd.html który mi pomaga bo jest napisany "ludzkim" w miarę językiem :)

pozdrawiam :)

Jacekalex · 2009-12-05 15:59:42

Tyle - to firewall ma domyślnie - przed konfiguracją - np. po instalacji - lub uruchomieniu z LiveCD.
W takiej konfiguracji - wszystkie porty są otwarte - a firewall na urlopie.

Ja od dawna używam skryptu - w którym interfejs zewnętrzny konfigurują następujące reguły:

Kod:

#!/bin/bash

EXT=eth1
export EXT
sudo echo " Uruchamiam firewalla............................................."


sudo echo "# ignorowanie ICMP sudo echo request wysylanych na adres rozgloszeniowy" 

sudo echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

sudo echo "128" >> /proc/sys/net/ipv4/ip_default_ttl

sudo echo "# ochrona przed SYN flood" 

sudo echo "1" > /proc/sys/net/ipv4/tcp_syncookies


sudo echo "# refuse source routed packets"  

sudo echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route


sudo echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
sudo echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

sudo echo "# logowanie pakietow z nieprawidlowych adresow "

sudo echo "0"> /proc/sys/net/ipv4/conf/all/log_martians
sudo echo "0" > /proc/sys/net/ipv4/ip_forward
sudo echo "# Konfigurowanie zapory..................................................." 

sudo echo "# Czyszczenie tablic......................................................"

sudo iptables -F
sudo iptables -X
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT 
sudo iptables -A INPUT -i lo -d 127.0.0.0/8 -j ACCEPT
sudo iptables -A OUTPUT -o lo -s 127.0.0.0/8 -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp -f -i $EXT -j DROP
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p udp -i $EXT -m state --state NEW -j REJECT --reject-with icmp-host-unreachable
sudo iptables -A INPUT -p tcp -i $EXT  -m state --state NEW -j REJECT --reject-with tcp-reset
sudo iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --set
sudo iptables -I INPUT -i $EXT -m state --state NEW -m recent --update --seconds 150 --hitcount 3 -j DROP

# Konfiguracja sieci
sudo ifconfig $EXT down
sudo ifconfig $EXT hw ether <Adres-MAC>
sudo ifconfig $EXT <Adres-IP> netmask 255.255.255.0
sudo ifconfig $EXT up 
sudo route add default gw <adres-bramy> $EXT

# Konfiguracja DNS
sudo echo 'nameserver 127.0.0.1' >/etc/resolv.conf
sudo echo 'nameserver 208.67.220.220' >>/etc/resolv.conf
sudo echo 'nameserver 208.67.222.222' >>/etc/resolv.conf

Jest tu włączony dostęp do ftp - możesz spróbować - czy będzie się łączył klient ftp z virtualboxa - przy takiej konfiguracji.
A przede wszystkim - włącz go podając złe hasło - i zobacz - czy po 3 próbach utraci możliwość połączenia w ogóle. Czy - czy trik z blokowanie po kilku próbach działa.

Ja sprawdzić w tej sekundzie sprawdzić nie mogę - virtualbox zdechł - coś mu w kernelu nie pasuje.

Na dole - w komendach ifconfig - zawiera się konfiguracja ustawień sieciowych interfejsu w sposób najskuteczniejszy - jaki znam.

To wyciąg ze skryptu - który stawia 3 interfejsy - więc mógł wkraść się błąd - którego w tej chwili nie zauważyłem.

W każdym razie - daje to obraz konfiguracji iptables do interfejsu zewnętrznego.

I bardzo proszę - aby troszkę zagłębić się w temat.
Konstrukcja iptables jest logiczna i przejrzysta.

U mnie taki skrypt (cały) urzęduje w folderze

Kod:

/usr/local/bin

- i odpowiada za całą konfigurację sieci.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2009-12-05 21:35:47)

figa · 2009-12-05 20:51:41

sprawdziłam te moje porty na stronie https://www.grc.com i może z tymi moimi portami nie jest aż tak źle :) bo mam taki wynik

Kod:

  GRC Port Authority Report created on UTC: 2009-12-05 at 19:42:47

Results from scan of ports: 0-1055

    2 Ports Open
    0 Ports Closed
 1054 Ports Stealth
---------------------
 1056 Ports Tested

NO PORTS were found to be CLOSED.

Ports found to be OPEN were: 21, 22

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - NO Ping reply (ICMP Echo) was received.

co prawda tak jak piszesz nie są zamknięte ale są niewidoczne . Z tego co czytałam o tym w internecie to taki stan nie jest zły chyba - ?

Jednak co do zabezpieczeń to muszę poczytać zanim coś będę zmieniać żeby nie zepuć tego co mam , bo póki co to niewiele rozumiem :(

dzięki za cenne rady - pozdrawiam :)

Jacekalex · 2009-12-05 21:14:16

te reguły

Kod:

sudo iptables -A INPUT -p udp -i $EXT -m state --state NEW -j REJECT --reject-with icmp-host-unreachable
sudo iptables -A INPUT -p tcp -i $EXT  -m state --state NEW -j REJECT --reject-with tcp-reset

- sprawiają - że komputer na wywołanie odpowiada - tutaj nikogo nie ma :)
W tym skrypcie są otwarte porty ftp 20 i 21 - zobacz - czy te porty wykrył.

Poza tym - jak pisałem - puść flashxp z windy (virtualboxa) - ze złym hasłem,i zobacz - po ilu próbach zalogowania do ftp napisze - że nie ma żadnego serwera - będzie komunikat - brak odp. serwera. (po angielsku).

Poza tym - do zakresu 20:21 w regule:

Kod:

sudo iptables -I INPUT -p tcp --dport 20:21 -m state --state NEW -m recent --set

zmień najlepiej na większy: np.

Kod:

sudo iptables -I INPUT -p tcp --dport 0:1024 -m state --state NEW -m recent --set

- w ten sposób na blacklistę bedą trafiać wywołania do najczęściej atakowanych portów - samba i nebios, i kilka innych.

A ssh - powinno być bezpiecznie na jakimś zupełnie nietypowym porcie.
Ftp też można przenieść na inne porty - ale nie chcę u Ciebie wywołać zawrotów głowy.

Jeśli w teście zobaczył dwa porty 20 i 21 to firewall działa ok.

Jednak pytanie - czy ftp i ssh mają być dostępne z całego świata - czy np. z twojego miejsca pracy?

Bo w takim wypadku lepiej wpuścić tylko jeden (lub kilka) adresów IP - zamiast otwierać dostęp z całego świata.

UWAGA - nie doczytałem: Ports found to be OPEN were: 21, 22

Chyba źle podpięłaś skrypt do firewalla - daj go do

Kod:

/usr/local/bin

a potem dodaj - podlinkuj

Kod:

sudo ln -s $(which <nazwa-skryptu>) /etc/network/if-up.d/<nazwa-skryptu>

do folderu

Kod:

/etc/network/if-up.d

albo dodaj do autostartu tzn. podlinkuj do

Kod:

/etc/init.d

i uruchom komendę

Kod:

sudo update-rc.d <nazwa-skryptu> defauts 5

Ponadto - jeśli masz inną konfigurację sieci - WiCD, NM czy w interfaces - to wywal ze skryptu linie zawierające polecenia ifconfig i route - one konfigurują interfejs - nie firewalla.

Poza tym - o prawach wykonania skryptu np:

Kod:

chmod 755 /usr/local/bin/<nazwa-skryptu>

- przypominać nie muszę - prawda?

Bo gdyby ten skrypt działał - to port 22 nie mógłby być widoczny czy otwarty.

Pozdrawiam
;)

Ostatnio edytowany przez Jacekalex (2009-12-05 21:38:49)

figa · 2009-12-06 00:30:06

Starałam się pojąć i zrobić jak radzisz ale i tak mam te 2 porty 21 i 22 cały czas otwarte w teście.

Mam tak:

Stworzony plik iptables jako skrypt z możliwością wykonania jako programu / 755 / i zapisany w katalogu usr/local/bin .
Jego typ to skrypt powłoki a treść jest taka

Kod:

#!/bin/bash

EXT=eth0
export EXT
sudo echo " Uruchamiam firewalla............................................."


sudo echo "# ignorowanie ICMP sudo echo request wysylanych na adres rozgloszeniowy" 

sudo echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

sudo echo "128" >> /proc/sys/net/ipv4/ip_default_ttl

sudo echo "# ochrona przed SYN flood" 

sudo echo "1" > /proc/sys/net/ipv4/tcp_syncookies


sudo echo "# refuse source routed packets"  

sudo echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route


sudo echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
sudo echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

sudo echo "# logowanie pakietow z nieprawidlowych adresow "

sudo echo "0"> /proc/sys/net/ipv4/conf/all/log_martians
sudo echo "0" > /proc/sys/net/ipv4/ip_forward
sudo echo "# Konfigurowanie zapory..................................................." 

sudo echo "# Czyszczenie tablic......................................................"

sudo iptables -F
sudo iptables -X
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT 
sudo iptables -A INPUT -i lo -d 127.0.0.0/8 -j ACCEPT
sudo iptables -A OUTPUT -o lo -s 127.0.0.0/8 -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp -f -i $EXT -j DROP
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p udp -i $EXT -m state --state NEW -j REJECT --reject-with icmp-host-unreachable
sudo iptables -A INPUT -p tcp -i $EXT  -m state --state NEW -j REJECT --reject-with tcp-reset
sudo iptables -I INPUT -p tcp --dport  0:1024  -m state --state NEW -m recent --set
sudo iptables -I INPUT -i $EXT -m state --state NEW -m recent --update --seconds 150 --hitcount 3 -j DROP

Na samej górze eth1 zmieniłam na eth0 bo łączę się przez eth0 i reszty nie dopisywałam bo domyśliłam się że nie musi byc skoro te ustawienia mam w wicd.

Natomiast w katalogu /etc/init.d/ mam dowiązanie do pliku iptables / tego co powyżej / .

Potem wykonałam jeszcze to polecenie

Kod:

 sudo update-rc.d iptables defauts 5

na co dostałam chyba odpowiedź na ile zrozumiałam że wykona je po restarcie bo "teraz nie może" :)

Oba połączenia działają i ftp i ssh.

Na razie jeszcze portów nie zmieniałam bo się pogubię - o tym potem :)

Z poprzednimi ustawieniami flashxp próbował połączyć się 10 razy zanim mu się odechciało a z teraźniejszymi dopiero sprawdzę.

PS właśnie to sprawdzam ale sytuacja chyba sie nie zmieni 10 prób bo już jest 5 i dalej próbuje się łączyć.

Ostatnio edytowany przez figa (2009-12-06 00:41:43)

Jacekalex · 2009-12-06 04:10:05

PS właśnie to sprawdzam ale sytuacja chyba sie nie zmieni 10 prób bo już jest 5 i dalej próbuje się łączyć.

Powinien (flashxp) dostać bana po 3 próbach.
Sprawdź - czy te próby połączenia - to jest złe hasło - czy też brak połączenia (serwer nie odpowiada, Connection refused - czy coś w tym typie).
Poza tym - jeśli z Virtualboxa - jaki interfejs sieciowy łączy wirtualną maszynę z systemem bazowym.
NAT- czy vboxnet - mam na myśli konfigurację interfejsów virtualboxa.

Czy działa moduł xt_recent - pierwsza część triku z banowaniem adresów po kilku próbach - możesz zobaczyć tym poleceniem:

Kod:

cat /proc/net/xt_recent/*

- u mnie ta część chodzi.

Jeśli tam będą wpisy z adresami IP - to winna będzie reguła blokująca - będzie trzeba sprawdzić - co nie działa.

Poza tym - sprawdź - czy reguły ze skryptu wczytują się prawidłowo - poprzez

Kod:

sudo iptables -L -n -v

lub

Kod:

sudo iptables-save

I jeszcze jedno - skrypt nie może mieć nazwy iptables - bo wtedy każda komenda w skrypcie wywoła ten skrypt - a nie firewalla.

Odpal tez skrypt z terminala poprzez sudo - i zobacz - czy będą jakieś komunikaty o błędach.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2009-12-06 04:16:34)

Forum Debian Users Gang

Ogłoszenie

#1 2009-11-29 22:23:42

figa - Użytkownik

glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#2 2009-11-30 00:00:51

Jacekalex - Podobno człowiek...;)

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

Kod:

Kod:

#3 2009-11-30 10:41:28

figa - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

Kod:

Kod:

#4 2009-11-30 12:28:19

life - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#5 2009-11-30 13:47:16

figa - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#6 2009-11-30 19:18:42

Jacekalex - Podobno człowiek...;)

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#7 2009-11-30 23:06:59

figa - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#8 2009-12-01 22:09:53

Jacekalex - Podobno człowiek...;)

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#9 2009-12-01 23:09:07

figa - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#10 2009-12-01 23:56:05

Jacekalex - Podobno człowiek...;)

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#11 2009-12-02 11:39:20

figa - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#12 2009-12-02 15:31:29

Jacekalex - Podobno człowiek...;)

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

Kod:

#13 2009-12-02 18:15:53

figa - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

Kod:

#14 2009-12-03 01:55:33

Jacekalex - Podobno człowiek...;)

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

Kod:

#15 2009-12-03 11:06:52

figa - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#16 2009-12-03 22:37:27

Jacekalex - Podobno człowiek...;)

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

#17 2009-12-05 11:02:03

figa - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

Kod:

#18 2009-12-05 15:59:42

Jacekalex - Podobno człowiek...;)

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

Kod:

Kod:

#19 2009-12-05 20:51:41

figa - Użytkownik

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

Kod:

#20 2009-12-05 21:14:16

Jacekalex - Podobno człowiek...;)

Re: glftpd,dyndns dostęp z internetu do własnego serwera /komputera/ jak?

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod: