Gå til innhold

Brannmur med iptables på debian


ti-guru

Anbefalte innlegg

Hei,

 

Dette er en repost fra Data/Programvare/sikkerhet-forumet da posten kanskje ikke helt traff riktig forum.

 

Jeg har en raspberry pi med debian 8.0 (jessie) koblet til nett via wifi, der jeg har satt opp en relativt grunnleggende brannmur med iptables og fwknop. Fwknop åpner dynamisk porter (kun til den ip'en som sendte godkjent SPA) til SSH og OpenVPN i iptables, hvor brukeren logger seg på disse tjenestene med 4096-bit nøkler.

 

Jeg hadde håpet på en tilbakemelding herfra om det er endringer eller forbedringer som kan gjøres i brannmuren:

XXXX@YYYY:~ $ sudo iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N FWKNOP_INPUT
-A INPUT -j FWKNOP_INPUT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p udp -m udp --dport 1194 -j DROP
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "INPUT LOG: "
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -i tun0 -o wlan0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "FORWARD LOG: "
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "OUTPUT LOG: "
Jeg har gjort diverse nmap scans på den eksterne ip'en min og får der opp at port 22 og 1194 er henholdsvis filtered og open|filtered. Så har inntrykk av at brannmuren gjør jobben. Stemmer dette?
Lenke til kommentar
Videoannonse
Annonse

Det kunne kanskje være en ide å begynne med en beskrivelse av nettverket og hva firewallen skal gjøre. Hvor kjører brannmuren. På en gateway med 2 porter? Skal dette være en server firewall eller en gateway firewall?

Takk for innspill, skal svare så godt jeg kan. Gi lyd ved mangler eller uklarheter.

 

Vanlig hjemmenettverk med en wifi ruter som gateway der rpi er en klient i dette nettverket. Brannmur skal være server brannmur. Hensikten med brannmuren er å skjule alle tjenestene rpi kjører for omverdenen uansett hvor utspekulerte søkene mot ipen måtte være, og bare åpne opp når fwknop får en korrekt spa pakke.

 

Edit: ruter videresender kun port 22 og 1194 til rpi foreløpig. Har ikke åpnet for videresending av 80 da jeg ikke kjører noen tjeneste på denne porten perioden dag. Har planer etterhvert om en enkel side som kjører med flask (Python)

Endret av ti-guru
Lenke til kommentar

Hva er meningen med dette og hvilken funksjon skal ivaretas?

 

-A FORWARD -i tun0 -j ACCEPT

-A FORWARD -s 10.8.0.0/24 -i tun0 -o wlan0 -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "FORWARD LOG: "

Måtte til for å få openvpn til å fungere. Hadde i utgangspunktet kun FORWARD DROP, men da fungerte ikke vpn. Ordnet seg med reglene over. Mulig det går an å skrelle bort noen av reglene? Hvordan ser øvrige regler ut mtp skjuling av tjenester? Endret av ti-guru
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...