Konfiguracja iptables

Zagadnienia bezpieczeństwa w systemie
NieGooglujMnie
Posty: 43
Rejestracja: 06 maja 2015, 12:42

Post autor: NieGooglujMnie »

=
Ostatnio zmieniony 11 sierpnia 2017, 22:01 przez NieGooglujMnie, łącznie zmieniany 1 raz.
Awatar użytkownika
grzesiek
Junior Member
Posty: 932
Rejestracja: 06 stycznia 2008, 10:41
Lokalizacja: Białystok

Post autor: grzesiek »

Strata czasu, wiedziałem, że tak będzie.
Awatar użytkownika
Yampress
Administrator
Posty: 6400
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Post autor: Yampress »

Racja. I tak nie będzie w stanie 100% wszystkiego kontrolować.

IDS i jeszcze parę zabawek i starczy.


A tak w ogóle po co potrzebne Ci takie logi co dokładnie się dzieje.. Wiesz 50% administratorów nie wie co się w ich sieci dzieje...
Czeladnikx
Posty: 12
Rejestracja: 21 maja 2015, 15:38

Post autor: Czeladnikx »

NieGooglujMnie pisze:Takie 2 zasady:

1) Można dużo rzeczy potestować na maszynach wirtualnych, dotyczy to np. forwardowania, blokowania/udostępniania portów.

2) Najpierw blokujesz się cały, w 100%. Wszystko zamykasz. A później krok po kroku otwierasz porty/usługi. Robisz taką twierdzę, którą trochę - za każdym krokiem - otwierasz. ALE nie odwrotnie, czyli nie tak: otwarty >> coraz bardziej zamknięty.
Ale właśnie tak: całkowicie zamknięty >> coraz bardziej otwarty.

Ustawiasz tylko te regułki, które rozumiesz i wiesz dlaczego takie są. Lepiej ustawić regułkę prostacką i zrozumiałą, niż wyrafinowaną ale nie do przeanalizowania "po co to jest".
Przeciez na poczatku topicu napisalem: 3xDROP !!!
Czeladnikx
Posty: 12
Rejestracja: 21 maja 2015, 15:38

Post autor: Czeladnikx »

Yampress pisze:Racja. I tak nie będzie w stanie 100% wszystkiego kontrolować.

IDS i jeszcze parę zabawek i starczy.


A tak w ogóle po co potrzebne Ci takie logi co dokładnie się dzieje.. Wiesz 50% administratorów nie wie co się w ich sieci dzieje...
To jacy z nich admini???
Chce poznac mozliwosci jakie daje iptables, i znakomicie wiem ze to nie wszystko, ale bardzo duzo.
Dlaczego zamiast pomoc to zniechecacie?
Awatar użytkownika
grzesiek
Junior Member
Posty: 932
Rejestracja: 06 stycznia 2008, 10:41
Lokalizacja: Białystok

Post autor: grzesiek »

Poświęciłem czas na twoje zachcianki, po czym stwierdziłeś, że takie rozwiązanie Ci się nie podoba. Mógłbym teraz zapytać dlaczego marnujesz mój czas?
Czeladnikx
Posty: 12
Rejestracja: 21 maja 2015, 15:38

Post autor: Czeladnikx »

grzesiek pisze:Poświęciłem czas na twoje zachcianki, po czym stwierdziłeś, że takie rozwiązanie Ci się nie podoba. Mógłbym teraz zapytać dlaczego marnujesz mój czas?
O czym tu mowisz, destrukcja zamiast konstrukcji.
Jezeli w ten sposob zamierzasz komunikowac sie z innymi ludzmi, zbywajac ich, badz lekcewazac to po co sie meczyc?
Awatar użytkownika
dedito
Moderator
Posty: 3560
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Post autor: dedito »

Jeśli dobrze rozumiem, to wątek w zasadzie jest o nakładaniu patchy na jądro i do tego się powinien ograniczać.
O patchowaniu kernela masz tony informacji w Internecie.
Być może te moduły można też skompilować jako dynamicznie dodawane do jądra (za pomocą modprobe).
Awatar użytkownika
grzesiek
Junior Member
Posty: 932
Rejestracja: 06 stycznia 2008, 10:41
Lokalizacja: Białystok

Post autor: grzesiek »

Nie na jądro tylko na iptables. Moim zdaniem to rozwiązanie co przedstawiłem + prawidłowa konfiguracja cgroups powinna wystarczyć: https://www.kernel.org/doc/Documentatio ... et_cls.txt
Ja jednak mam wątpliwość, czy autor wątku wie do czego chce wykorzystać moduł cgorups w iptables, dlatego, że ten sam efekt można uzyskać za pomocą innych już istniejących modułów, co pewnie jest powodem niedodania tego modułu przez deweloperów do iptables. Wcale się nie dziwie, ponieważ jego użycie bez skonfigurowanego mechanizmu cgroups może doprowadzić do jakiś problemów.
Czeladnikx
Posty: 12
Rejestracja: 21 maja 2015, 15:38

Post autor: Czeladnikx »

@dedito
Ten watek to 2 zagadnienia, gdzie bylbym wdzieczny za rzeczywista pomoc (bez komentarzy):
a - patchowanie Kernela za pomoca latek z Git,a (zalaczone powyzej linki)
b - zastosowanie podsystemu net_cls do przydzielenia klasyfikatora "classid" wszystkim pakietom, ktore moga
byc nastepnie dopasowywane przez cel cgroup na podstawie wartosci net_cls.classid.
Powyzsza procedura jest podstawa selektywnego filtrowania egress.
Rozumiem mechanizm ale gdzies robie blad i nie udaje mi sie selektywnie otagowac wszystkich pakietow w celu egress filtering na odpowiedniej regole iptables. Podsystem net_cls jest rzeczywiscie nowoscia od ok roku i literatury w jezyku polskim wlasciwie nie ma a i w angielskim nie za wiele. Czytalem:
https://access.redhat.com/documentation/en-US/Red_H … ide/ch01.html
http://www.linuxtopia.org/online_books/rhel6/rhel_6 … l_Groups.html
http://serverfault.com/questions/676468 ... pe-ingress
Daniela Borkmann,a
inne.

Dla przykladu:
Mam potrzebne 2 aplikacje przyporzadkowane/skonteneryzowane do kolejnych cgroups za pomoca znacznikow net_cls.classid nastepnie umozliwiamy okreslonej "cgroup" dostep do Internetu poprzez "wylom" w FW, np

Kod: Zaznacz cały


iptables -S | grep "cgroup 1" -A OUTPUT -m cgroup --cgroup 1 -j ACCEPT
W ten sposob na zewnatrz wyjdzie tylko to co zezwole.
Jezeli ktos bylby uprzejmy przeprowadzic procedure przyznawania znacznikow (Classifier) 2 aplikacjom dla zaproponowanych np 2 cgoups ?!
Staralem sie zrobic to sam, ale gdzies robie blad, moze moj angielski nie wylapuje niuansow?
ODPOWIEDZ