Iptables scripti - onko turvallinen?

[juffe]

Hei

Tuli tuosta edellisestä keskustelusta mieleen että onkohan tämä minun scriptini turvallinen ja järkevä. Tarkoituksenani on siis ollut pitää kaikki tarpeettomat palvelut suljettuna. Kone toimii serverinä ja jakaa nettiä muille lähiverkon koneille. Voisiko joku iptables expertti katsoa scriptini läpi?

Koodia: [Valitse]

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth1'
WAN_IP='xxx.xxx.xxx.xxx'
WAN_NIC='eth0'

# load some modules (if needed)

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services

#samba
iptables -A INPUT -p tcp  -s 192.168.0.0/24 -m multiport --dports 135,139,445 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/24 -m multiport --dports 137,138 -j ACCEPT

#vdr-streamdev-server
iptables -A INPUT -j ACCEPT -p tcp --dport 3000

#serverin bittorrentille/torrentflux portteja auki
iptables -A INPUT -j ACCEPT -p tcp --dport 49169
iptables -A INPUT -j ACCEPT -p udp --dport 49169
iptables -A INPUT -j ACCEPT -p tcp --dport 49170
iptables -A INPUT -j ACCEPT -p udp --dport 49170
iptables -A INPUT -j ACCEPT -p tcp --dport 49171
iptables -A INPUT -j ACCEPT -p udp --dport 49171
iptables -A INPUT -j ACCEPT -p tcp --dport 49172
iptables -A INPUT -j ACCEPT -p udp --dport 49172
iptables -A INPUT -j ACCEPT -p tcp --dport 49173
iptables -A INPUT -j ACCEPT -p udp --dport 49173

#ssh
iptables -A INPUT -j ACCEPT -p tcp --dport 22

#apache-server, että torrentflux toimii
iptables -A INPUT -j ACCEPT -p tcp --dport 80

#torrentille_poytakone1
iptables -A INPUT -j ACCEPT -p tcp --dport 15851
iptables -A INPUT -j ACCEPT -p udp --dport 15851

#dc_poytakone1
iptables -A INPUT -j ACCEPT -p tcp --dport 15852
iptables -A INPUT -j ACCEPT -p udp --dport 15852

#torrentille_lappari
iptables -A INPUT -j ACCEPT -p tcp --dport 15850
iptables -A INPUT -j ACCEPT -p udp --dport 15850

#torrentille_lappari_reititys
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 15850 -j DNAT --to 192.168.0.2:15850
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 15850 -j DNAT --to 192.168.0.2:15850
iptables -A FORWARD -p tcp -i eth0 -d  192.168.0.2 --dport 15850 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 -d  192.168.0.2 --dport 15850 -j ACCEPT

#torrentille_poytakone1_reititys
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 15851 -j DNAT --to 192.168.0.44:15851
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 15851 -j DNAT --to 192.168.0.44:15851
iptables -A FORWARD -p tcp -i eth0 -d  192.168.0.44 --dport 15851 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 -d  192.168.0.44 --dport 15851 -j ACCEPT

#dc_poytakone1_reititys
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 15852 -j DNAT --to 192.168.0.44:15852
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 15852 -j DNAT --to 192.168.0.44:15852
iptables -A FORWARD -p tcp -i eth1 -d  192.168.0.44 --dport 15852 -j ACCEPT
iptables -A FORWARD -p udp -i eth1 -d  192.168.0.44 --dport 15852 -j ACCEPT

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward


[Ubuntudebisti]

Hei

Tuli tuosta edellisestä keskustelusta mieleen että onkohan tämä minun scriptini turvallinen ja järkevä. Tarkoituksenani on siis ollut pitää kaikki tarpeettomat palvelut suljettuna. Kone toimii serverinä ja jakaa nettiä muille lähiverkon koneille. Voisiko joku iptables expertti katsoa scriptini läpi?

Alla olevaa ei varmaan tarvitse avata kaikille?

#apache-server, että torrentflux toimii
iptables -A INPUT -j ACCEPT -p tcp --dport 80

Jos ei ole webbi palvelimelle käyttö, voi ihan hyvin antaa pääsyn webbipalvelimelle vain localhostille ja kotiverkolle.


Ilmeisesti sinulla on kaksi verkkokorttia, toinen internettiin ja toinen lähiverkkoon?

En tiedä olenko paranoidi ,mutta määrittelisin noita ehtoja niin että en hyväksyisi paikallisverkon liikennettä tuon WAN interfacin puolelta, vaan ainostaan tuon LAN interfacen puolelta.

Käsittääkseni on mahdollista vääristellä ip osoitteita.

Tyyliin:
  iptables -A INPUT -p tcp  -s 192.168.0.0/24 -m multiport --dports 135,139,445  -i $LAN NIC -j ACCEPT


Juu ja en ole expertti, mutta tuli vain mieleen mitä itse olisin muuttanut.

[juffe]

Moi vain kaikille.

Porttiohjaukset ei jostain syystä toimi, ei kirveelläkään.
Käytän edelleen tuota ekassa viestissä olevaa scriptiä. Laitteisto on muuttunut hieman ja vanillan(2.6.22. olen kääntänyt jo aikapäiviä sitten. wan on nykyään eth1 ja lan eth2. Mikä tässä on vikana?

Käytän siis työasemaa jonka ip on 192.168.0.2 ja yritän utorrentin porttitesterillä testailla http://www.utorrent.com/testport.php?port=15850
Tuo testeri näyttää siis 15850 osoitteella punaista, mutta sitten taas ihmetykseni oli suuri, kun portilla 49169 oli vihreää, jolle ei ole edes tehty minkäänlaista portforwardia. Onko tuossa kernelissä jotain ihmeellistä tai jäänyt joku vipu kääntämättä vai onko joku paketti asentamatta? ei tajua ei.