---

Nu har jeg i et par aftener siddet og læst om sikkerhed (støn)
Sagen er, at jeg skal have sat en maskine op som firewall, og har besluttet
at prøve med en RH7.

eth0 er netkortet udtil
eth1 er netkortet til det interne net. (10.0.0.0 / 255.255.255.0)
Der skal ikke køre nogen services på maskinen (kun sshd)
Jeg mener at have fundet frem til flg, men er ikke helt sikker på hvordan
jeg får de to netkort til at snakke sammen.
Er der ikke en der kunne hjælpe lidt ?

ipchains -P input DENY
ipchains -P output ACCEPT
ipchains -P forward DENY

# (Tillad alt på loopback)
ipchains -A input -p all -j ACCEPT -i lo
# (tillad alt indefra)
ipchains -A input -p all -j ACCEPT -i eth1
# (Undgå spoofing udefra)
ipchains -A input -p all -s 10.0.0.0/255.255.255.0 -j DENY -i eth0
# (Tillad alt der ikke har syn bit sat)
ipchains -A input -p tcp -j ACCEPT \! -y
#Tillad ssh fra administrators IP adresse
ipchains -A input -p tcp -j ACCEPT -s ADMIN_PUBLIC_IP ssh d PUBLIC_IP -y
# (Tillad FTP)
ipchains -A input -p tcp -j ACCEPT -s 0/0 ftp-data -d 0/0 56000:65096 -y
# (Tillad DNS)
ipchains -A input -p udp -j ACCEPT -s 0/0 domain -d 0/0 56000:65096
# (Tillad REAL AUDIO)
ipchains -A input -p udp -j ACCEPT -d 0/0 32768:37769
# (Forbyd redirect)
ipchains -A input -p icmp -s 0/0 redirect -j DENY --log
ipchains -A input -p icmp -s 0/0 timestamp-request -j DENY --log
ipchains -A input -p icmp -s 0/0 address-mask-request -j DENY --log
ipchains -A input -p icmp -j ACCEPT
# (Log resten)
ipchains -A input --log

---

---

"Rene" <kaos@intet.dk> skrev i en meddelelse
news:Pine.LNX.4.21.0108281721350.13338-100000@virkelig.intet...
> Du mangler en forward-sektion :)
>
> ipchains -A forward -j ACCEPT
>
> Der skal så selvfølgelig restrictes på hvilke interfaces der skal
> forwardes til/fra, og hvem på lokalnettet der må forwardes - dette skulle
> gerne stå i en af de mange HOWTo's, og ellers er jeg ret sikker på, at der
> er et afsnit om det i linuxbogen (http://www.sslug.dk/linuxbog)
>
> Hvis du installerer en maskine fra bunden, og vil bruge RedHat, hvorfor så
> ikke 7.1? Den kommer med kerne 2.4.2 (og 2.4.3 ligger i update). Så kan du
> nemlig bruge iptables, der (synes jeg) er en del lettere at arbejde med +
> at du kan matche på states osv.
>


Sorry, det en RH7.1 opdateret til seneste version med up2date.
Jeg er da helt åben for forslag, da jeg havde tænkt mig at grave lidt mere i
det her med sikkerhed på en linux-boks. Er det sikkert det jeg har har
lavet, eller er det helt hen i vejeret?
Xinetd er helt fjernet, da jeg ikke har noget at bruge den til.
Det er kun port 22 og 10000 der er åbne (ssh og webmin)

Jeg har tilføjet sidste linie, og nu ser der ud til at der er hul igennem
YES, takker !
Nu har jeg en stak linier (kommandoer). Hvor smider jeg dem ind henne ? Der
ligger jo allerede et eller andet inde fra starten, da jeg valgte "brandmur"
under installationen, det var vel mest praktisk at disse nye regeler
erstattede de gamle.

ipchains -P input DENY
ipchains -P output ACCEPT
ipchains -P forward DENY
ipchains -A input -p all -j ACCEPT -i lo
ipchains -A input -p all -j ACCEPT -i eth1
ipchains -A input -p all -s 10.0.0.0/255.255.255.0 -j DENY -i eth0
ipchains -A input -p tcp -j ACCEPT \! -y
ipchains -A input -p tcp -j ACCEPT -s 131.165.147.31 ssh -d 10.0.0.3 -y
ipchains -A input -p tcp -j ACCEPT -s 0/0 ftp-data -d 0/0 56000:65096 -y
ipchains -A input -p udp -j ACCEPT -s 0/0 domain -d 0/0 56000:65096
ipchains -A input -p udp -j ACCEPT -d 0/0 32768:37769
ipchains -A input -p icmp -s 0/0 redirect -j DENY --log
ipchains -A input -p icmp -s 0/0 timestamp-request -j DENY --log
ipchains -A input -p icmp -s 0/0 address-mask-request -j DENY --log
ipchains -A input -p icmp -j ACCEPT
ipchains -A input --log
ipchains -A forward -j MASQ -s 10.0.0.0/24 -i eth0

---

---

> well - webmin er der vel kun åbnet for for interne 'trustede' maskiner ?
> og hvilken kerne bruger du ? uname -a skulle kunne fortælle det.
> Hvis det er 2.4.* kan jeg endnu engang kun anbefale at skifte til iptables
> og netfilter (http://netfilter.samba.org).

Ja, det er en 2.4. Hmm je må nok til at læse lidt...

/Karsten