Iptables. Linuxadministration I 1DV417. Tuesday, February 19, 13

Relevanta dokument
IPTABLES från grunden. Anders Sikvall, Sommarhack 2015

Brandväggar. Brandväggar. Netlter/iptables. Grupp 13 Andreas Önnebring Markus Månsson 21 februari 2008

Linux Netfilter/IPTables grunder

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad.

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Hur du gör din Linuxdator säkrare

Fjärradministration av Iptables Management Server

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

Hjälpprotokoll till IP

5 Internet, TCP/IP och Tillämpningar

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Switch- och WAN- teknik. F7: ACL och Teleworker Services

5 Internet, TCP/IP och Applikationer

Vad är Internet? - Flera olika slags nät - Vill kunna kommunicera över dessa nät - Vad gör man?

2D1395, Datasäkerhet. GF3 Paketfiltrering

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

IT för personligt arbete F2

Tentamen i Datorkommunikation den 10 mars 2014

Uppgift: Design and evaluation of a TCP proxy which provides secure tunneling to another TCP proxy.

Lösningar till tentan i ETS052 Datorkommunikation

5. Internet, TCP/IP tillämpningar och säkerhet

4 p o r t s 1 0 / m b p s

Åtkomst och användarhandledning

Instuderingsfrågor ETS052 Datorkommuniktion

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

5. Internet, TCP/IP och Applikationer

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

adressöversättning. Adressöversättning bryter mot principen att kommunicera end-to-end. introduktion till ip 93 Testa själv

Nätskiktet. Nätskiktet och Internet Protocol. End-to-end -argumentet. IP-pakethuvudet. IP och länkskiktet <#>

Transport Layer. Transport Layer. F9 Meddelandesändning med UDP EDA095 Nätverksprogrammering. Java och UDP TCP/UDP

HDMI Extender över Ethernet

DIG IN TO Nätverksteknologier

HP ProCurve SKA 3.1 Certifiering

Föreläsning 5. Vägval. Vägval: önskvärda egenskaper. Mål:

Förebyggande Råd från Sveriges IT-incidentcentrum

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

TENTAMEN. Kurskod/Kurs: 5DV013, Datakommunikation och datornät 5DV065, Datakommunikation och Internet

Brandväggsarkitekturer

Denial of Services attacker. en översikt

DA 2012: F13. Nätverk 2 Ann-Sofi Åhn

Rabattkoder : Kupongerna.se

Brandväggar och portöppningar. Manual

LTH, Institutionen för Elektro- och Informationsteknik (EIT) ETS052 Datorkommunikation Sluttentamen: , 14-19

IPv6 och säkerhet.

============================================================================

Brukningsavgifter. År 2016

TCP/IP Grundprov Göteborg Välj ut tio av nedanstående frågor, baserat på det urval du gör gäller följande;

Nät med flera länkar. Vägval. Enklaste formen av kommunikation:

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

Region Skåne Verksamhetsledningssystem (VLS)

Piff och Puffs Chatsystem

Ver Guide. Nätverk

Krav på kundens LAN och gränssnitt ProLane

Att Säkra Internet Backbone

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

IPv6 Jonas Aronsson 3TEa

Övningar - Datorkommunikation

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Övning 5 EITF25 & EITF Routing och Networking. December 5, 2017

Följande signaler har kodats med Manchester. Hur ser bitströmmen ut om den inleds med en 0:a?

IPv6 via 6to4-tunnel med Linksys WRT54GL

Grundläggande rou-ngteknik. F2: Kapitel 2 och 3

Programmera en NXT Robot

OSI-modellen. Skiktade kommunikationsprotokoll. OSI-Modellen. Vad är en bra skiktindelning? Fysiska skiktet. Länkskiktet

Real-time requirements for online games

Instruktioner - Mybring Innehåll

IPv6 via 6to4-tunnel med Linksys WRT54GL

God nätverksdesign och distribuerade brandväggar. Patrik Fältström

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson

Brygga HUB. Brygga. Switch

MRD Industriell 3G-Router KI00283C

TBSK 03 Teknik för Advancerade Datorspel

Tentaexempel. Maria Kihl

CELLTRACKS ANALYZER II. Nätverksguide J40169SV

LTH, Institutionen för Elektro- och Informationsteknik (EIT)

Underhållsplan 2013/2014 till 2017/2018

ETS052 Internet Routing. Jens A Andersson

Vattenförvaltning och Miljökvalitetsnormer för vatten. Hans-Erik Johansson Västerbottens beredningssekretariat

Larmsändare sip86. Alla inställningar konfigureras enkelt upp med Windowsprogramvaran IP- Scanner. 2 Larmsändare sip22

IP grunder och arkitektur

WebAccess och dess moduler

TDDD80. Mobila och sociala applikationer Introduktion HTTP,SaaS. Anders Fröberg Institutionen för Datavetenskap (IDA)

WCMS-15, Webbutvecklare CMS

Internet. Internet hur kom det till? Internets framväxt. Ett hierarkiskt uppbyggt telenät Kretskopplat/circuit switching

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011

Handbok Remote Access TBRA

HDMI Extender över Ethernet

Edgecore SKA 3.1 certifiering

Installation_of_jquery_themes_in_osCommerce_234_sv.pdf by Bertil Palmqvist shopwebshop.eu

Tentamen Nätverksprogrammering Lösningsförslag

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

DATORTEKNIK. Tangentbord, knappsatser och deras avkodning

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

Kihl & Andersson: Kapitel 6 (+ introduktioner från kap 7, men följ slides) Stallings: 9.5, 14.1, 14.2, Introduktion i 14.3, 16.1

Brister i kunskap vid gymnasieval

Helmholz Wall-IE. Supportdokument

SPID och identifiering av obfuskerade protokoll

Övning 5 ETS052 Datorkommuniktion Routing och Networking

Transkript:

Iptables Linuxadministration I 1DV417

netfilter/iptables

iptables forts. iptables t nat A PREROUTING p tcp i eth0 o eth1 j DNAT --to-destination 10.0.0.2

Filtermodulen

Filtermodulen forts. Input Output Forward

Scenario 1- Input-kedjan routing Forward-kedja Input-kedja Lokal process Nekad

Scenario 2- Forward-kedjan routing Forward-kedja Nekad Input-kedja

Scenario 3 - Output-kedjan Lokal process Output-kedja Nekad

DROP och REJECT REJECT IP-paket DROP Skicka felmeddelande till användaren Kasta bort

Filter-modulens åtgärder ACCEPT LOG RETURN DROP REJECT Skicka vidare till annan kedja iptables A INPUT p icmp -j ACCEPT

REJECT iptables A INPUT p icmp -j REJECT --reject-with icmp-portunreachable iptables A INPUT p tcp -j REJECT --reject-with tcp-reset iptables A INPUT p udp -j REJECT --reject-with echo-reply

NAT-modulen SNAT (Source NAT) DNAT (Destination NAT) MASQUERADE REDIRECT

NATs inbyggda kedjor PREROUTING OUTPUT POSTROUTING

Paketets väg genom NAT DNAT routing Forward-kedja SNAT Nekad Input-kedja Lokal process OUTPUT-kedja Nekad Nekad

Mangle MARK TTL ToS

Kommandon iptables iptables-save iptables-restore iptables -N ftpchain iptables -A ftpchain -p icmp -j ACCEPT iptables -F ftpchain iptables -X ftpchain iptables -P INPUT DROP iptables -L iptables -L INPUT

Regler Generell syntax iptables -A OUTPUT p tcp j ACCEPT -A alt. --append iptables -A INPUT p icmp j ACCEPT -I alt. --insert iptables -I INPUT 2 p icmp j ACCEPT -D alt. --delete iptables -D INPUT 2 -R alt. --replace iptables -R INPUT 2 p icmp j ACCEPT

Grundläggande villkor iptables A INPUT -i eth0 p tcp j DROP iptables A OUTPUT -o eth0 p tcp j DROP iptables A INPUT -p tcp j DROP iptables A INPUT -s 10.0.0.0/8 j DROP iptables A OUTPUT -d 10.0.0.0/8 j DROP

Specificera en åtgärd för en regel iptables A INPUT p tcp -j DROP

TCP-filter --sport alt. --source-port Avsändarens port --dport alt. --destination-port Mottagarens port --tcp-flags TCP-flaggor --syn Kontrollera att SYN-flaggan är satt --tcp-option Max-storleken på paket som mottagaren kan ta emot

UDP-filter --sport alt. --source-port Avsändarens port --dport alt. --destination-port Mottagarens port

ICMP-filter echo-reply (0) --icmp-type destination-unreachable (3) source-quench (4) redirect (5) echo-request (8) time-exceeded (10) parameter-problem (11)

LOG-filter iptables A INPUT i eth0 j LOG --log-prefix eth0-log:

match -m alt. --match iptables A FORWARD p tcp i eth0 o eth1 m state --state NEW,ESTABLISHED,RELATED j ACCEPT

SNAT och MASQUERADE iptables t nat A POSTROUTING -o eth0 j SNAT --to-source 194.46.13.5 iptables t nat A POSTROUTING -o eth0 j MASQUERADE iptables t nat A POSTROUTING -o eth0 j MASQUERADE --to-ports 1-1024

DNAT iptables t nat A PREROUTING i eth0 --dport 80 -j DNAT --to-destination 10.0.0.2:80 iptables t nat A PREROUTING i eth0 --dport 80 -j DNAT --to-destination 10.0.0.2-10.0.0.10:80 iptables t nat A PREROUTING i eth0 -j DNAT --to-destination 10.0.0.2:1-1024

Scenario 1 - Enkel brandvägg Internet eth0 Brandvägg eth1 Interna nätverket Brandväggen ska Släppa igenom TCP-kommunikation från det interna nätverket Släppa igenom TCP-kommunikation från internet om statusen på paketen är ESTABLISHED eller RELATED Blockera övrig trafik in och ut genom brandväggen

Scenario 1 - Enkel brandvägg Internet eth0 Brandvägg eth1 Interna nätverket Brandväggen ska Släppa igenom TCP-kommunikation från det interna nätverket Släppa igenom TCP-kommunikation från internet om statusen på paketen är ESTABLISHED eller RELATED Blockera övrig trafik in och ut genom brandväggen iptables A FORWARD i eth1 o eth0 p tcp j ACCEPT

Scenario 1 - Enkel brandvägg Internet eth0 Brandvägg eth1 Interna nätverket Brandväggen ska Släppa igenom TCP-kommunikation från det interna nätverket Släppa igenom TCP-kommunikation från internet om statusen på paketen är ESTABLISHED eller RELATED Blockera övrig trafik in och ut genom brandväggen iptables A FORWARD i eth1 o eth0 p tcp j ACCEPT iptables A FORWARD p tcp i eth0 o eth1 m state --state ESTABLISHED,RELATED j ACCEPT

Scenario 1 - Enkel brandvägg Internet eth0 Brandvägg eth1 Interna nätverket Brandväggen ska Släppa igenom TCP-kommunikation från det interna nätverket Släppa igenom TCP-kommunikation från internet om statusen på paketen är ESTABLISHED eller RELATED Blockera övrig trafik in och ut genom brandväggen iptables A FORWARD i eth1 o eth0 p tcp j ACCEPT iptables A FORWARD p tcp i eth0 o eth1 m state --state ESTABLISHED,RELATED j ACCEPT iptables P FORWARD DROP

Scenario 2 - DNAT eth0 eth1 DMZ Internet Brandvägg Webbserver Brandväggen ska Genomföra en DNAT för paket som ska till webbservern i DMZ (10.0.0.2) Skicka paket vidare från det publika nätverkskortet (eth0) till DMZ-nätverkskortet (eth1) om paketens status är NEW, ESTABLISHED eller RELATED Skicka paket vidare från DMZ-nätverkskortet (eth1) till det publika nätverkskortet (eth0) om statusen på paketet är ESTABLISHED eller RELATED

Scenario 2 - DNAT eth0 eth1 DMZ Internet Brandvägg Webbserver Brandväggen ska Genomföra en DNAT för paket som ska till webbservern i DMZ (10.0.0.2) Skicka paket vidare från det publika nätverkskortet (eth0) till DMZ-nätverkskortet (eth1) om paketens status är NEW, ESTABLISHED eller RELATED Skicka paket vidare från DMZ-nätverkskortet (eth1) till det publika nätverkskortet (eth0) om statusen på paketet är ESTABLISHED eller RELATED iptables t nat A PREROUTING p tcp -i eth0 j DNAT --to-destination 10.0.0.2

Scenario 2 - DNAT eth0 eth1 DMZ Internet Brandvägg Webbserver Brandväggen ska Genomföra en DNAT för paket som ska till webbservern i DMZ (10.0.0.2) Skicka paket vidare från det publika nätverkskortet (eth0) till DMZ-nätverkskortet (eth1) om paketens status är NEW, ESTABLISHED eller RELATED Skicka paket vidare från DMZ-nätverkskortet (eth1) till det publika nätverkskortet (eth0) om statusen på paketet är ESTABLISHED eller RELATED iptables t nat A PREROUTING p tcp -i eth0 j DNAT --to-destination 10.0.0.2 iptables A FORWARD i eth0 o eth1 p tcp d 10.0.0.2 --dport 80 -m state --state NEW j ACCEPT

Scenario 2 - DNAT eth0 eth1 DMZ Internet Brandvägg Webbserver Brandväggen ska Genomföra en DNAT för paket som ska till webbservern i DMZ (10.0.0.2) Skicka paket vidare från det publika nätverkskortet (eth0) till DMZ-nätverkskortet (eth1) om paketens status är NEW, ESTABLISHED eller RELATED Skicka paket vidare från DMZ-nätverkskortet (eth1) till det publika nätverkskortet (eth0) om statusen på paketet är ESTABLISHED eller RELATED iptables t nat A PREROUTING p tcp -i eth0 j DNAT --to-destination 10.0.0.2 iptables A FORWARD i eth0 o eth1 p tcp d 10.0.0.2 --dport 80 -m state --state NEW j ACCEPT iptables A FORWARD i eth0 o eth1 m state --state ESTABLISHED,RELATED j ACCEPT

Scenario 2 - DNAT eth0 eth1 DMZ Internet Brandvägg Webbserver Brandväggen ska Genomföra en DNAT för paket som ska till webbservern i DMZ (10.0.0.2) Skicka paket vidare från det publika nätverkskortet (eth0) till DMZ-nätverkskortet (eth1) om paketens status är NEW, ESTABLISHED eller RELATED Skicka paket vidare från DMZ-nätverkskortet (eth1) till det publika nätverkskortet (eth0) om statusen på paketet är ESTABLISHED eller RELATED iptables t nat A PREROUTING p tcp -i eth0 j DNAT --to-destination 10.0.0.2 iptables A FORWARD i eth0 o eth1 p tcp d 10.0.0.2 --dport 80 -m state --state NEW j ACCEPT iptables A FORWARD i eth0 o eth1 m state --state ESTABLISHED,RELATED j ACCEPT iptables A FORWARD i eth1 o eth0 m state --state ESTABLISHED,RELATED j ACCEPT

Kommandon iptables L iptables F iptables t nat F iptables-save iptables-restore (iptables-restore < filnamn)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss