Professional Documents
Culture Documents
>=----
[0x00] % I'am Going in!
<0x00a> INTRODUCTION
<0x00b> Acknowledgments
<0x00c> Documentation
[0x01] % Me the Armored!!!
<0x01a> Get your IPtables now
<0x01b> KERNEL setup
<0x01c> User setup
[0x02] % FW philosophy
<0x02a> FW Technologies
<0x02b> FW Arhitecture
<0x02c> Packet Filters
<0x02d> Proxy Server
<0x02e> We made this
[0x03] % IPtables Internals
<0x03a> How it work?
<0x03b> USER States
[0x04] % It's time for rules baby!
<0x04a> BASICS commands
<0x04b> Putting some rules
<0x04c> Rules,rules and more rules!
>=----
////////////////////////////////////////////////////////////////////////////////
--==<[ 0x00 % I'am Going in!
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
__________________________________________________________
| pozdravi za : |
-----------------------------------------------------------
| pinky_jso,_alexa_,nitro ,m4rk0,demo,sanja,nada,stevic |
| kermit,tofila,duleCyber,Misko,nemanja,Sindel,ana,nada2 |
| Stevicius,Alexandar iz bogatja,GGandalf,pole,tadija, |
| sve sa faxa :) ....sve DOBRE PICKE a i one malo ali |
| malo losije bez ETF-ovki plz :)....onoj slatkoj tj naj-|
| lepsoj curi sa engleskog....SVIMA koji me ZNAJU. |
|=========================================================|
| spec pozdravi za: |
-----------------------------------------------------------
| moje kolege iz pH zine-a i blackhata |
| Sve sa #ugs chana , #sabac chana |
| ceo underground ex-yu :) |
| |
| MaYuR ghett00 & Semsa Suljakovic & Vida Pavlovic |
| ...bez kojih nebi imao inspiracije... |
-----------------------------------------------------------
...pah ako sam zaboravio nekog steta, ko ce se svega setiti.
ES forums greet? nope :) sorry geys this time.
////////////////////////////////////////////////////////////////////////////////
--==<[ 0x01 % Me the Armored
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Prvo cemo opisati nacin na koji se IPTables moze ucitati direktno u KERnEL.
Kao sto vec rekoh IPTables podrzava kernele od 2.4 pa na ovamo...
KERNEL setup je podosta komplikovan i zamrsen tako da uspesno instaliranje je
pod znakom pitanja ukoliko ne koristite kompletnu dokumentaciju jel postoji ve-
liki broj opcija i veliki broj stvari koje treba definisati sto nije nimalo lak
zadatak.
Uglavnom npr pri rekompajliranju kernela mozete direktno u KERNEL ubaciti cisti
IPTables. Npr pri komandi \make configure\ ili neke slicne komande koje koristit
e
Sada cu opisati niz osnovnih opcija koje biste trebali da imate na umu.
Opet napominjem najbolje je procitati kompletnu dokumentaciju IPtablesa kako
biste bili sto bolje upoznati sa onim sto vam se nudi.
==---------[code]----------==
make install KERNEL_DIR=/usr/src/linux/
==---------[/code]---------==
i to bi bilo to sada samo
==---------[code]----------==
#iptables
==---------[/code]---------==
Jedan od nacina snimanja koji je pre ovih novih verzija smatran za experimen-
talan je i iptables-save:
==---------[code]----------==
z10n#-iptables-save
z0n#-iptables-restore
==---------[/code]---------==
Ova druga opcija sluzi za ucitavanje definisanih pravila i lanaca.
Sada ste spremni za daljnje korake.
////////////////////////////////////////////////////////////////////////////////
--==<[ 0x02 % FW philosophy
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
[=- Packet - O paketima sam mnogo vise pricao u proslom broju zinea,tako
da je najbolje da procitate taj deo zbog shvatanja osnovnih
pojmova mreze. Najednostavnije PAKET je jedinica koja slu
zi
za prenos podataka preko mreze. Stavicu i slikoviti prika
z
paketa...
______________________________________________________________
| bits 4 8 16 19 24 31 |
| __________________________________________________________ |
| | version | Lenght | Tip servisa | Totalna duzina |
| ------------------------------------------------------------
| |-----------------------------------------|----|-----------|
| | Indetification |Flag|Fragment Offset
| |----------------------------------------------------------|
| | time to live | Protocol |Header Checksum |
| |----------------------------------------------------------|
| | S O U R C E A D D R E S S |
| |----------------------------------------------------------|
| | D E S T I N A T I O N A D D R E S S |
| |----------------------------------------------------------|
| | O P T I O N S |
| |-----------------------------------------------------------
| | D A T A |
| |__________________________________________________________|
|____________________________________________________________|
Ovaj deo sam naveo jel se on mora znati kako bi nastavili proucavanje rada FW.
Iako kao sto vec rekoh dosta toga o Osnovama Mreza sam opisao u proslom broju...
..[=-< N A T
.
.
------------
| | 10.5.2.1 -------- 212.64.46.112
|Unutrasnja| ------------->>> | NAT | ----------->>>
| masina | --------
------------
Znaci kada masina koja se nalazi unutar NAT-ovane mreze posalje paket on
dolazi npr na ruter i tada se vrsi NAT-ovanje. Tj menja sa source adresa posalj-
ioca u headeru paketa tako da izgleda kao da je paket poslat sa druge adrese.
Znaci ako je adresa nase masine 10.2.5.1 kada paket prodje kroz NAT promenice
adresu u 212.64.46.100
Za nadolazece pakete menja se DEST adress. Tj kada masina van mreze posalje pake
t
NAT modifikuje DEST spoljnu vidljivu adresu u unutrasnju koja se ne vidi od
strane posaljioca.
Dobre strane NAT-a su sto moze ustedeti na Address space-u, a i takodje zbog
sigurnosnih razloga.
Znaci konekcija bez prolaska kroz NAT ce biti neuspesna sto je opet jedan vid
zastite.
NAT vam moze pomoci da stavite zabranu na spoljni saobracaj odredjene vrste ili
npr na sav saobracaj koji je usmeren ka odredjenom hostu.Restrikcije mogu biti
dublje nego kod Packet filtera.
Mozda je problem sto necete imati svoj public IP tako da vas moze onemoguciti
pri obavljanju nekih poslova dizanju servera itd....
==-[ 0x02b % FW Arhitecture
--------
| | -------
| b0x | -------->>> |ruter| ------>>> INTERNET
| | -------
--------
__________
| | _______________
| Firewall | (LAN) | |
/ Internet \----| SISTEM |--(HUB)--| MASINA |
\_ _ _ _/ |__________| | |_______________|
| ______________
| | |
+----| PROXY |
|______________|
PROIZVODJAC | PROIZVOD
===========================================
3Com Corporation | OfficeConnect Internet Firewalls
| OfficeConnect NETBuilder
-------------------------------------------
Alcatel Fort Knox |
Policy Router | OneStream Fort Knox
-------------------------------------------
Axent Technologies | AltaVista Tru64 UNIX
| Raptor NT
| Raptor Solaris
--------------------------------------------
BorderWare Techno- | BorderWare Firewall Server
logies | Check Point SoftwareFirewall-1 NT
| Firewall-1 Solaris
--------------------------------------------
Cisco Systems PIX | SERIJA prozivoda
--------------------------------------------
WatchGuard Technolo- | Firebox II
gies |
--------------------------------------------
Tiny Software | WinRoute Pro
--------------------------------------------
Sun Microsystems | SunScreen EFS
--------------------------------------------
SLMSoft.com | SecureIT
--------------------------------------------
SonicWALL, Inc. | SonicWALL Family
--------------------------------------------
Secure Computing | Sidewinder
| SecureZone
--------------------------------------------
Progressive Systems | Phoenix Adaptive Firewall
--------------------------------------------
Novell BorderManager | Novell FireWALL for NT
| Enterprise Edition
---------------------------------------------
IBM | SecureWay AIX
| SecureWay NT
---------------------------------------------
Intel | LANRover VPN Gateway
---------------------------------------------
Internet Dynamice | Conclave
---------------------------------------------
eSoft | Instagate
---------------------------------------------
CyberGuard Corporation| CyberGuard Unixware
| CyberGuard NT
---------------------------------------------
Nokia | Nokia IP Series Routers
---------------------------------------------
Lucent Technologies | Lucent Managed Firewall
| SecureConnect Firewalls
=============================================
Naravno to je samo deo liste koju mozete naci na oficijelnom
sajtu ovog sertifikata i da napomenem da ova FW resenja mogu biti
i ekstremno skupa :>
////////////////////////////////////////////////////////////////////////////////
--==<[ 0x03 % IPTables Internals
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
----------- ______
| | | IP |
| Vas | |paket|
| Sistem |- <<========= |_____|
| |-\
----------- mrezni interfejs
[=- IP paket stize na vas sistem tj mrezni uredjaj bio to modem ethernet card
[=- Ukoliko je paket nadolazeci onda se poziva INPUT chain. Ali ukoliko je pak
-
et odlazeci poziva se OUTPUT chain,ili ukoliko samo prolazi kroz sistem
poziva se FORWARD chain.
[=- Paket se ispituje od strane prvog pravila u lancu. Ako se poklapa sa krit-
erijuomom pravila, pravilo deluje na paket ispustajuci ga, prihvatajuci ga
ili ga jednostavno prosledi dalje npr sledecem chainu.
[=- Ukoliko se paket ne poklopi sa kriterijumom prvog lanca ide na sledeci itd
[=- Ukoliko se paket ne poklapa sa nijednim definisanim pravilom onda se vrsi
testiranje na default podesavanja FW.
Sada cemo uci malo dublje u rad IPTABLES-a jel sam ukratko naveo rad necega
tako necemo reci komplikovanog ,ali ....
Znaci paket koji pristize prvo udara od hardver i onda se prosledjuje ka odgo-
varajucem drajveru uredjaja u KERNEL-u. Zatim paket ide kroz niz koraka kroz
KERNEL pre nego sto se posalje nekoj internoj aplikaciji ili drugom hostu.
Sta ce se sve desiti od vremena udaranja u hardver do prihvatanja od strane neke
aplikacije objasnicemo sada. Uzecemo primer naseg sistema kao krajnje destinacij
e
i navescemo korake putovanja paketa za njega. Posto sam u prethodnom tutrialu ve
c
podosta opisao strukturu IP paketa nebih zeleo da se ponavljam stoga citajte
dalje.
-----------------------------------------------------------------------
|korak | Tabela | Chain | Komentar |
-----------------------------------------------------------------------
| 1 | | | Na Internetu,mrezi |
-----------------------------------------------------------------------
| 2 | | | Dolazak na interfejs |
-----------------------------------------------------------------------
| 3 | mangle | PREROUTING | Chan se koristi u ra-|
| | | | zlicite namene tipa |
| | | | smanjuje ToS itd... |
-----------------------------------------------------------------------
| 4 | NAT | PREROUTING | Vecinom se koristi za|
| | | | DNAT.izbegavaj postav|
| | | | ljanje pravila ovde |
-----------------------------------------------------------------------
| 5 | | | Odluke o rutiranju |
-----------------------------------------------------------------------
| 6 | mangele | INPUT | Filtering svog saobra|
| | | | caja namenjenog nama |
-----------------------------------------------------------------------
| 7 | | | Lokalni proces/app |
-----------------------------------------------------------------------
U sledecem primeru cemo navesti putanju paketa koji odlazi sa nase masine.
-----------------------------------------------------------------------
| korak | Table | CHAIN | |
-----------------------------------------------------------------------
| 1 | | | Lokalni proces/applikacija|
-----------------------------------------------------------------------
| 2 | | | Odluke o rutiranju.Odluke |
| | | | source adresi koja se kori-|
| | | | sti itd... |
-----------------------------------------------------------------------
| 3 | mangle | OUTPUT | Takodje nemojte da filteru-|
| | | | jete u ovom lancu |
-----------------------------------------------------------------------
| 4 | NAT | OUTPUT | U ovom koraku se mogu NAT- |
| | | | ovati odlazeci paketi. |
-----------------------------------------------------------------------
| 5 | filter | OUTPUT | Ovde filterujemo odlazece |
| | | | pakete... |
-----------------------------------------------------------------------
| 6 | mangle | POSTROUTING | |
| | | | |
-----------------------------------------------------------------------
| 7 | NAT | POSTROUTING | Ovde se radi SNAT |
-----------------------------------------------------------------------
| 8 | | | Odlazi sa nekog interfejsa |
-----------------------------------------------------------------------
| 9 | | | Na Internetu,mrezi |
-----------------------------------------------------------------------
+---------------------------------------------------------------------+
|korak | Tabela | Chain | Komentar |
-----------------------------------------------------------------------
| 1 | | | Na Internetu,mrezi |
-----------------------------------------------------------------------
| 2 | | | Dolazak na interfejs |
-----------------------------------------------------------------------
| 3 | mangle | PREROUTING | Chan se koristi u ra-|
| | | | zlicite namene tipa |
| | | | smanjuje ToS itd... |
-----------------------------------------------------------------------
| 4 | NAT | PREROUTING | Vecinom se koristi za|
| | | | DNAT.izbegavaj postav|
| | | | ljanje pravila ovde |
-----------------------------------------------------------------------
| 5 | | | Odluke o rutiranju |
-----------------------------------------------------------------------
| 6 | mangle | FORWARD | Paket se salje na FO-|
| | | | RWARD chain. |
-----------------------------------------------------------------------
| 7 | filter | FORWARD | Ovde se obavlja svo |
| | | | filtriranje.Samo for |
| | | | warded paketi dolaze |
| | | | ovde. |
-----------------------------------------------------------------------
| 8 | mangle | POSTROUTING | Sluzi za specificni |
| | | | packet mangling,kada |
| | | | su sve odluke o ruti-|
| | | | ranju gotove. |
-----------------------------------------------------------------------
| 9 | nat | POSTROUTING | SNAT,ne filtrirati |
| | | | pakete ovde. |
-----------------------------------------------------------------------
| 10 | | | Odlazi sa uredjaja |
-----------------------------------------------------------------------
| 11 | | | Odlazi na Internet |
+---------------------------------------------------------------------+
_____
INCOMING / \ OUTGOING
-->[Odluka o ]--->|FORWARD|------->
[rutiranju] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \_____/
\___/ ^
| |
----> Local Process ----
Ovi krugovi su vec pomenuti LANCI i kada paket dodje u taj krug taj isti lanac
ga ispituje kako bi odlucio o njegovoj daljnjoj sudbini.
Ukoliko LANAC prihvati paket on nastavlja put ,ali ukoliko CHAIn zeli da dropa
paket ubija ga tu na mestu.
LANAC je jednostavno Lista pravila. Svaki paket koji se nadje u lancu ispitivanj
a
testira se na ta pravila. Ukoliko se testiranja poklope (matchuju),sa izgledom
headera onda se odlucuje sta ce se sa paketom ukoliko se ne matchuje sa tim lan-
cem ide se dalje na sledeca pravila. Ukoliko se ne nadje match ni za jedan lanac
o sudbini paketa odlucuje DEFAULT POLICY koja vecinom preferira DROP paketa.
ovim smo napravili novi lanac pod imenom \novo\.Da vismo videli listu lanaca
koristicemo -L opciju.
==---------[code]----------==
z10n#-iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain da (0 references)
target prot opt source destination
Chain novo (0 references)
target prot opt source destination
==---------[/code]---------==
U spisku lanca mozemo videti i nas lanac pod nazivon \novo\.posto nismo za
njega definisali ni jedno pravilo on je prazan.
Svaki lanac sadrzi set pravila na koje nailazi paket.Kada se paket sretne sa
sa lancem on se testira na niz pravila koje mi definisemo.U zavisnosti od pokla-
panja sa tim pravilima odvijaju se razliciti dogadjaji.
Vazno je znati neke stvari pomocu kojih cemo uspesno konfigurisati FW:
[=- -s --source - Definisemo adresu posaljioca
[=- -d --destination - Definisemo adresu primaoca
Medjutim mozemo staviti i sufix ! koji oznacava NOT EQUAL tj nije jednako
i time promeniti ponasanje pravila.
npr:
==---------[code]----------==
-s ! localhost
==---------[/code]---------==
se poklapa sa svakim paketom koji ne dolazi sa localhosta.
==---------[code]----------==
z10n#-ifconfig
eth0 Link encap:Ethernet HWaddr 00:10:DC:97:72:5B
inet addr:10.2.5.112 Bcast:10.2.5.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3761 errors:0 dropped:0 overruns:0 frame:0
TX packets:1637 errors:0 dropped:0 overruns:0 carrier:0
collisions:0
RX bytes:989377 (966.1 Kb) TX bytes:152043 (148.4 Kb)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:3 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0
RX bytes:261 (261.0 b) TX bytes:261 (261.0 b)
==---------[/code]---------==
npr:
==---------[code]----------==
-i eth0
==---------[/code]---------==
[=- -o --out-interface - Isto sto i -i,samo sto se koristi izlazni interf.
Takodje mozemo koristiti i u ovom slucaju ! ,ali i znak + koji ce uticati
da se poklapaju svi uredjaju bili oni up ili down.
==---------[code]----------==
-o eth+
==---------[/code]---------==
Rezultovace poklapanjem sa svim eth uredjajima.
==---------[code]----------==
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,FIN -j DROP
==---------[/code]---------==
Ovaj deo koda govori da se ispituju svi flagovi,medjutim samo se setuju SYN
i FIN.
Ostale opcije:
[=- --icmp-type - Tip iCMP protokola
[=- -m mac - Poklapanje sa MAC hardverskom adresom.
==---------[code]----------==
iptables -A INPUT -m mac --mac-source 23:11:02:02:00:01
==---------[/code]---------==
==---------[code]----------==
iptables -A INPUT -m limit --limit 3/second
==---------[/code]---------==
LIMIT moze biti naveden u oblicima:/second,/minute,/hour,/day
Ovaj gornji primer pokazuje da se poklapanja mogu izvrsiti max 3 puta po sekundi
[=- --limit-burst - Oznacava max broj poklapanja paketa u jedinici vreme-
na.
==---------[code]----------==
iptables -A INPUT -m limit --limit-burst 5
==---------[/code]---------==
Ovaj navedeni broj se smanjuje posle svake jedinice vremena nazad do 1.
[=- owner -
--uid-owner - Poklapa se sa svim paketima koje je stvorio proces
odredjenog UID-a.
--gid-owner - Isto kao i --uid-owner medjutim vrsi se test po GID-u
--pid-owner - ...pakete koji su stvoreni od strane procesa sa odr-
edjenim PID-om.
--sid-owner - ..od strane neke session group
==---------[code]----------==
# iptables -A INPUT -i eksterni_interfejs -s tvoja_ip -j REJECT
==---------[/code]---------==
Primer:
==---------[code]----------==
bash-2.05b# iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j REJECT
==---------[/code]---------==
==---------[code]----------==
# ipchains -A input -j DROP
# ipchains -A output -j DROP
# ipchains -A forward -j DROP
==---------[/code]---------==
Ovim cemo odbiti input, output, forward pravila.
Ukoliko zelimo umesto DROP koristiti REJECT dabismo korisniku dali poruku o
gresci bilo bi dobro da koristimo flag --reject-with.
Ili jednostavnije izvucite kabal :0
[=- Blokiranje Nadolazeceg saobracaja
Ovo pravilo uopste nece uticati na vas odlazeci saobracaj vec samo na dolazeci
Naime definisanjem ovog pravila blokiracete sav saobracaj koji ide ka vama
sem onog sa vaseg sistema.
==---------[code]----------==
iptables -A INPUT -p tcp --syn -j REJECT
==---------[/code]---------==
Ovim cemo onemoguciti three-way handshake.
Takodje ovo mozemo resiti i na drugi nacin:
==---------[code]----------==
# iptables -F INPUT
# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -j REJECT
==---------[/code]---------==
==---------[code]----------==
# iptables -F OUTPUT
# iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -j REJECT
==---------[/code]---------==
SSH protokol sam vec opisao u prethodnom tutu. Zaobidjite nesigurne protokole
tipa TELNET, FTP itd i koristite Secure Shell.
==---------[code]----------==
# iptables -F INPUT
# iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -j REJECT
==---------[/code]---------==
==---------[code]----------==
# iptables -A INPUT -p tcp ! -s tvoja_ip --dport service -j REJECT
==---------[/code]---------==
....To bi bila neka osnovna pravila koja biste trebali razmotriti. Naravno da ih
mozete modifikovati za svoje potrebe. ja sam naveo samo banalne primere njihove
primene, na vama je da to dalje razradite budite mastoviti....
[=- TOS match - TOS match se koristi kada zelimo da vrsimo testiranju
paketa i to preko njegovog TOS polja (Type of Service).
proucavajuci njegove vrednosti.
TOS je osmobitni broj koji se nalazi u headeru paketa.
Ovakav nacin testiranja izvodi se pomocu -m tos opcije
.
Minimize-Delay 16 (0x10), Maximize-Throughput 8 (0x08)
,
Maximize-Reliability 4 (0x04), Minimize-Cost 2 (0x02),
i Normal-Service 0 (0x00) iz sledeceg primera.
==---------[code]----------==
iptables -A INPUT -p tcp -m tos --tos 0x16
==---------[/code]---------==
[=- TTL match - Poklapanja po Time to live.TTL je osmobitni broj koji se
nalazi u headeru paketa i cija vrednost opada za jedan
svaki put kada izvrsi jean HOP.Kada dodje na 0 paket u
mire
[=- DHCPD - Na ovaj nacin mozemo podesiti da se primaju i salju kone-
kcije DHCPD-a,a to se sve odbija preko UDP i to portova
27 i 28
==---------[code]----------==
#IPTABLES -I INPUT -i eth0 -p udp --dport 67:68 --sport \ 67:68 -j ACCEPT
==---------[/code]---------==
[=- SPOOF attacks - Pomenucu samo ukratko kako se odvija spoof i kako se
od istog i zastititi.
Naime predpostavimo da imamo 3 masine;A,B,C
A pokusava da B (zrtvi) salje pakete pretvarajuci se d
a
je osoba C.
-A salje SYN ka B sa source IP od C
-B odgovara C sa SYN/ACK
-Ako je C down,onda ce A uspostaviti konekciju sa B
-Ako je C up onda ce na nepoznati signal odgovoriti sa
RST
i napad ne uspeva.
Znaci ukoliko dodje do primanja RST signala nista od n
apada.
Takodje vise ili manje uspesno uz pomoc IPT mozemo se zastititi i od DoS-a.
==---------[code]----------==
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
==---------[/code]---------==
[=- Block - Pokazacu nacin na koji mozemo blokirati sve nove konekcije
sem ako one dolaze iznutra.
==---------[code]----------==
# iptables -N blockme
# iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
# iptables -A block -j DROP
# iptables -A INPUT -j blockme
# iptables -A FORWARD -j blockme
==---------[/code]---------==
[=- TELNET - Sledecim pravilom cemo sa odredjenog hosta zabraniti
TELNET saobracaj prema nama tj pakete koji su namenjeni
portu 23.
==---------[code]----------==
~ # iptables -A INPUT -s 212.63.45.1 -j DROP -p tcp --destination-port telnet
==---------[/code]---------==
[=- LOg invalid - Ukoliko zelimo da zabelezimo sve invalid pakete koji dola-
ze posle netfilter timeouta:
==---------[code]----------==
#iptables -I INPUT 1 -p tcp -m state --state INVALID -j LOG \
--log-prefix "FIREWALL:INVALID"
#iptables -I INPUT 2 -p tcp -m state --state INVALID -j DROP
==---------[/code]---------==
[=- DNAT - Pokazacemo kako se sav saobracaj namenjen dest hostu
10.2.5.1 i portu 80 redirektuje menjanjem IP hedera tj
dest adrese u njemu ,opsegu navedenih hostova.
Ovaj proces promene DEST fielnda radi DNAT.
==---------[code]----------==
#iptables -t nat -A PREROUTING -p tcp -d 10.2.5.1 --dport 80 -j DNAT
--to-destination 10.2.5.111-10.2.5.111
==---------[/code]---------==
[=- Allow int - Ovim kodom cemo omoguciti prijem paketa sa svih IP adresa
na adresu 10.2.5.1 uredjaja eth0.
==---------[code]----------==
#iptables -A INPUT -s 0/0 -i eth0 -d 10.2.5.1 -p TCP -j ACCEPT
==---------[/code]---------==
0/0 znaci da je source (-s) adresa bilo koja,tj poklapa se sa svim adresama.
==---------[code]----------==
#!/bin/bash
echo "Unesi interfejs:"
read IME
iptables -A INPUT -i $IME -p tcp --sport 80 -m state --state ESTABLISHED -j
ACCEPT
iptables -A OUTPUT -o $IME -p tcp --dport 80 -m state --state NEW,ESTABLISHED
-j ACCEPT
# 443
iptables -A INPUT -i $IME -p tcp --sport 443 -m state --state ESTABLISHED -j
ACCEPT
iptables -A OUTPUT -o $IME -p tcp --dport 443 -m state --state NEW,ESTABLISHE
D -j ACCEPT
==---------[/code]---------==
==---------[code]----------==
#!/bin/bash
#da li je iptables executabilan
if [ ! -x /sbin/iptables ]
then
exit 0
fi
iptables -F #flushuje
iptables -X
iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 \
-j ACCEPT
==---------[code]----------==
iptables -A OUTPUT -j ACCEPT -m state \
--state NEW,ESTABLISHED,RELATED -o eth0 -p tcp \
-m multiport --dport 80,443 -m multiport --sport 1024:65535
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED \
-i eth0 -p tcp
==---------[/code]---------==
Mozete fushovati iptables tako da se vrati na default police
==---------[code]----------==
$IPTABLES -F
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
==---------[/code]---------==
...bla bla shvatili ste ideju.Sve komande/primere koje sam dao mozete efikasno
kombinovati uz malo maste i volje. Ukoliko iole poznajete shell scripting nece
biti problema da sredite skripte koje vam trebaju kako bi izvrsili odredjenu
akciju. Nisam zeleo da vrsim pretpostavke itd zasta vam treba pa da ja pisem za]
vas jednostavno prateci osnovne konfiguracijske skriptice i komande lako mozete
shvatiti princip rada i lako postici max __rezultate__ koristeci iptables.
...ja se odjavljujem vidimo se u sledecem broju :>
---------------<> EOF