firewall - iptables - questions

[Giorgos Keramidas]

On 2007-01-07 20:52, basilis <bts at the.forthnet.gr> wrote:
> Ξεκινάω καινούριο thread, γιατί στο MTU topic επεκταθήκαμε σε άσχετα
> θέμα, τα οποία όμως με ενδιαφάρουν.
>
> Αυτές τις μέρες συμμαζεύω λίγο το script του firewall μου. Κύριο
> σημείο μου αναφοράς είναι το tutorial του oskar andreasson, το οποίο
> βρίσκεται στο
> http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Όλες οι κλασσικές μαλακίες μαζεμένες σε ένα σημείο.  Ενδιαφέροντα
είναι τα πολύπλοκα firewall rules και οι φανταχτερές filtering
διαδικασίες, αλλά έχουν δύο σημαντικά μειονεκτήματα:

  * Αυξάνουν την επεξεργαστική ισχύ που απαιτεί το firewall.

  * Είναι λίγο πιο δύσκολα να τα κατανοήσεις και να τα επεξεργαστείς
    λίγους μήνες μετά.

Γενικά, αν δεν είσαι ο network admin σε κάποιο δίκτυο στο οποίο
*πληρώνεσαι* για να ασχολείσαι με το filtering των πακέτων, δεν
έχει νόημα να ασχοληθείς *ΤΟΣΟ* πολύ με το να φτιάξεις ένα
φανταχτερό, γυαλιστερό, πύργο της Βαβέλ, από τον οποίο θα περνάνε
όλα τα πακέτα σου.

Μπορείς να κάνεις τη δουλειά σου και με κάτι δραματικά πιο απλό.

Για περισσότερα, και ενδιαφέρουσες συζητήσεις σχετικά με το θέμα,
καθώς και μια πιο εκτενή περιγραφή του ruleset που χρησιμοποιώ
εγώ συνήθως, βλ. και τα archives της λίστας και το Google:

http://groups.google.gr/group/local.linux.greek.users/browse_thread/thread/5436b97a2eaab540/f05ba7163307dd18

Πάρα πολλά posts μπορείς να βρεις και στη λίστα freebsd-questions,
που δεν είναι απαραίτητα εύκολο να τα μεταφράσεις "απευθείας" σε
iptables, αλλά οι γενικές ιδέες παίζουν παντού:

http://groups.google.gr/groups/search?q=firewall+freebsd-questions

,----------------------------------------------------------------
| set      block-policy return
| set      require-order yes
|
| # Reassemble fragments and resolve or reduce traffic ambiguities.
| scrub    in all
|
| # The default firewall policy is to block everything.
| block    in  log all
| block    out log all
|
| # Packet filtering rules.
| pass     in  quick on lo0 proto ip from 127.0.0.1/32 to 127.0.0.1/32
| pass     out quick on lo0 proto ip from 127.0.0.1/32 to 127.0.0.1/32
|
| # Allow all ICMP packets through.  They are mostly useful and
| # rate-limited by the FreeBSD kernel anyway.  See the icmp(4)
| # manpage for a description of the net.inet.icmplim* tunables,
| # for more details.
| pass     in  quick proto icmp all
| pass     out quick proto icmp all
|
| # Allow all outgoing connections.
| pass     out proto { tcp, udp } all keep state
|
| # Allow some incoming connections.
| pass     in  proto tcp from any         to any port =   22 keep state
| pass     in  proto tcp from any         to any port =  113 keep state
`----------------------------------------------------------------

Οι κανόνες είναι γραμμένοι για το PF firewall του OpenBSD και του
FreeBSD, αλλά δεν είναι ιδιαίτερα δύσκολο να τους "μεταφράσεις"
σε iptables.

Το συγκεκριμένο ruleset παίζει μια χαρά εδώ και χρόνια, τόσο σε
"σταθερούς" υπολογιστές που έχω στο σπίτι, όσο και στο laptop που
συνδέεται σε διάαααααφορα δίκτυα.