WikiSysop: Importerte 2 revisjoner

2011-04-15T19:34:48Z

Importerte 2 revisjoner

Brumle: la inn bildet. ser fortsatt litt for gæli ut..

2007-01-30T21:20:49Z

la inn bildet. ser fortsatt litt for gæli ut..

Brumle: initiell import

2007-01-30T20:59:44Z

initiell import

Ny side

<h2>Hvordan å... Sette opp en brannmur</h2>
<p>
Av Joachim Mæland, 1. april 2003
</p>
<p>
Før man får tilstrekkelig kunnskap og erfaring med å sette opp brannmurer med IPTables, vil jeg på det sterkeste anbefale at man tar utgangspunkt i ferdige script, eller script som genereres, basert på brukervalg. Et godt utgangspunkt for det siste finner man <a href="http://www.e3.com.au/firewall/index.php">her</a>.
</p>
<h3>Krav til brannmur</h3>
<p>

I vårt eksempel skal vi sette opp en brannmur som beskytter en enkeltsående maskin som også benyttes som arbeidsstasjon. Maskinen skal være mailserver, webserver og det skal være mulig å logge seg inn med ssh.
</p>
<p>
Ved valgene som er naturlig for en slik brannmur, vil oppsettet av brannmurscriptet skje i 2 trinn, som vist nedenfor:
</p>
<hr>

<form action="" method="post">
<p>Internet Interface: <input type="text" name="INET_IFACE" value="eth0" size="6" tabindex="1" />
</p>
<p><strong>Select Type of Internet Address</strong><br />
<input type="radio" name="DYNAMIC_IP" tabindex="2" /> Static Internet IP Address <br />
<input type="radio" name="DYNAMIC_IP" CHECKED="CHECKED" tabindex="4" /> Dynamic Internet IP Address</p>

<p><strong>Single System or Private Network Gateway?</strong><br />
<input type="radio" name="GATEWAY" tabindex="5" value="CHECKED" /> Single System <br />
<input type="radio" name="GATEWAY" CHECKED="CHECKED" tabindex="6" /> Gateway/Firewall </p>
<p><input type="checkbox" name="INBOUND_ALLOW" CHECKED="CHECKED" tabindex="300" /> <strong>Allow Inbound Services</strong>
</p>
<p><input type="submit" value="Generate Firewall!" tabindex="750" /></p>
</form>
Publisert med tillatelse fra <a href="mailto:scott@morizot.net">Scott Morizot</a>.

<hr>

<p>
<hr>

<form action="" method="post">
<p>Internet Interface: <input type="text" name="INET_IFACE" value="eth0" size="6" tabindex="1" /></p>
<p><strong>Select Type of Internet Address</strong><br />
<input type="radio" name="DYNAMIC_IP2" tabindex="2" /> Static Internet IP Address <br />
<input type="radio" name="DYNAMIC_IP2" CHECKED="CHECKED" tabindex="4" /> Dynamic Internet IP Address</p>
<p><strong>Single System or Private Network Gateway?</strong><br />

<input type="radio" name="GATEWAY2" CHECKED="CHECKED" tabindex="5" /> Single System <br />
<input type="radio" name="GATEWAY2" tabindex="6" /> Gateway/Firewall </p>
<p><input type="checkbox" name="INBOUND_ALLOW" CHECKED="CHECKED" tabindex="300" /> <strong>Allow Inbound Services</strong><br />
<ul type="square">
<li><input type="checkbox" name="SSH_IN" CHECKED="CHECKED" tabindex="301" /> SSH </li><li><input type="checkbox" name="DNS_IN" value="true" tabindex="302" /> DNS Server </li><li><input type="checkbox" name="HTTP_IN" CHECKED="CHECKED" tabindex="303" /> Web Server </li><li><input type="checkbox" name="FTP_IN" tabindex="304" /> FTP Server <input type="checkbox" name="PASSIVE_IN" tabindex="305" /> Allow Passive FTP Connections?

</li>
<li><input type="checkbox" name="EMAIL_IN" CHECKED="CHECKED" tabindex="308" /> Email Server </li><li><input type="checkbox" name="NTP_IN" tabindex="309" /> Time Server (NTP) </li><li><input type="checkbox" name="DHCP_IN" tabindex="310" /> DHCP Server (on the Internet interface) </li><li><input type="checkbox" name="IM_IN" tabindex="311" /> ICQ File Transfers
</li>
</ul>
<p><input type="submit" value="Generate Firewall!" tabindex="750" /></p>
</form>
Publisert med tillatelse fra <a href="mailto:scott@morizot.net">Scott Morizot</a>.
<hr>

<p>
Det resulterende scriptet kan benyttes i RedHat, slik det er beskrevet i selve scriptet. For Debian kan man følge fremgangsmåten lenger ned på denne siden. Ved å benytte dette scriptet ender man opp med en brannmur med følgende porter åpne:
<dl>
<dt>Webserver
<dd>Vanlig http på port 80 og https på port 443
<dt>Mailserver
<dd>SMTP på port 25, POP3 på port 110 og IMAP4 på port 143
<dt>Secure shell
<dd>Secure shell, ssh på port 22
</dl>
<p>Dersom man ikke kjører tjenester på alle disse portene kan disse komenteres ut med en "#" i begynnelsen av linja. Scriptet som blir resultatet av valgene ovenfor finnes <a href="hvordan.php?entry=hvordan-000007.inc">her</a>.
<p>
Dette scriptet lagres lokalt, jeg har valg navnet "brannmur.sh". Dersom du lagrer scriptet direkte på maskinen som settes opp som hjemmeserver, kan du hoppe over neste punkt.
<p>

<h3>Kopier scriptet til hjemmeserveren</h3>
<p>
Jeg anbefaler ssh og scp for å kopiere scriptet inn på serveren.
<pre>
neyachim@poteten:~$ scp brannmur.sh jm@hjemmeserver.net:. [ENTER]
jm@hjemmeserver.net's password:
brannmur.sh 100% |*** / ***| 4607 00:00
neyachim@poteten:~$
</pre>
<h3>Klargjør serveren, kjør scriptet</h3>
<p>
Logg inn på serveren:
<pre>
neyachim@poteten:~$ ssh -l jm hjemmeserver.net [ENTER]
jm@hjemmeserver.net's password:
</pre>
<p>
Su til root:

<pre>

jm@gigantis:~$ su root [ENTER]
Password:
</pre>
<p>
Lage tomt regelsett, (om dette er en nyisntallert boks er det i utgangspunktet tomt, men greit å være sikker)
<pre>
gigantis:/home/jm# /sbin/iptables -P INPUT ACCEPT [ENTER]
gigantis:/home/jm# /sbin/iptables -P OUTPUT ACCEPT [ENTER]
gigantis:/home/jm# /sbin/iptables -P FORWARD ACCEPT [ENTER]
gigantis:/home/jm# /sbin/iptables -F [ENTER]
</pre>
Lagre tomt regelsett:
<pre>
gigantis:/home/jm# /etc/init.d/iptables save inactive [ENTER]
</pre>
<p>
Gjør scriptet kjørbart:
<pre>
gigantis:/home/jm# chmod +x iptables.sh [ENTER]
</pre>
<p>

Kjør scriptet:
<pre>
gigantis:/home/jm# ./brannmur.sh [ENTER]
</pre>
<p>
List opp regelsettet:
<pre>
gigantis:/home/jm# /sbin/iptables -nL [ENTER]
</pre>
<p>
Lagre regelsettet:
<pre>
gigantis:/home/jm# /etc/init.d/iptables save active [ENTER]
</pre>

<h3>Sørge for at iptables starter opp ved boot</h3>

<p>
Sjansen er tilstede for at iptables startes opp ved boot, men for å være på den sikre siden, installerer vi et verktøy for å konfigurere tjenester. (Bruk av dette verktøyet er strengt tatt ikke nødvendig, men det kan være greit å ha tilgjengelig)
<pre>
gigantis:/home/jm# apt-get install rcconf [ENTER]
gigantis:/home/jm# rcconf [ENTER]
</pre>
<p>
Dette bringer opp følgende skjermbilde:
<p>
<img src="hvordan/rcconf.png" alt="" style="width: 510px; height: 280px;">
<p>
Her krysser man av for iptables og [Ok]. Bekreftelsen på at en symbolsk link til oppstartsscript lages ser man i form av:
<pre>
gigantis:/home/jm# rcconf
Adding system startup for /etc/init.d/iptables ...
/etc/rc0.d/K20iptables -> ../init.d/iptables
/etc/rc1.d/K20iptables -> ../init.d/iptables
/etc/rc6.d/K20iptables -> ../init.d/iptables
/etc/rc2.d/S20iptables -> ../init.d/iptables
/etc/rc3.d/S20iptables -> ../init.d/iptables
/etc/rc4.d/S20iptables -> ../init.d/iptables
/etc/rc5.d/S20iptables -> ../init.d/iptables
</pre>
<p>
Et alternativ til rcconf er å benytte:
<pre>

gigantis:/home/jm# dpkg-reconfigure iptables [ENTER]
</pre>
og svare "Yes" på om den skal "Enable the iptables init.d script?"
<h3>Oppsummering</h3>
<p>
Nå skal maskinen være beskyttet. Siden vi lagret det aktive regelsettet, etter at scriptet ble kjørt, vil regelsettet bli benyttet hver gang maskinen rebooter...

← Eldre revisjon	Revisjonen fra 15. apr. 2011 kl. 19:34
(Ingen forskjell)

@@ Linje 142: / Linje 142: @@
 <p>
 Dette bringer opp følgende skjermbilde:
-<p>
+[[Bilde:rcconf.png]]
-<img src="hvordan/rcconf.png" alt="" style="width: 510px; height: 280px;">
 Her krysser man av for iptables og [Ok]. Bekreftelsen på at en symbolsk link til oppstartsscript lages ser man i form av:
 <pre>
@@ Linje 164: / Linje 163: @@
 </pre>
 og svare "Yes" på om den skal "Enable the iptables init.d script?"
 <h3>Oppsummering</h3>
 <p>
 Nå skal maskinen være beskyttet. Siden vi lagret det aktive regelsettet, etter at scriptet ble kjørt, vil regelsettet bli benyttet hver gang maskinen rebooter...

Brannmur - Revisjonshistorikk

WikiSysop: Importerte 2 revisjoner

Brumle: la inn bildet. ser fortsatt litt for gæli ut..

Brumle: initiell import