iptables i lokalna mreža (pomoć)

[ Not now, John! @ 17.02.2005. 21:06 ] @

Da bih omogućio računarima u lokalnoj mreži pristup Web serveru i Samba serveru dodao sam sljedeće:

Code:
iptables -A INPUT -i eth0 -s 192.168.1.0/255.255.255.0 -p tcp -m multiport --destination-ports 80,137,138,139,445 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.1.0/255.255.255.0 -p udp -m multiport --destination-ports 80,137,138,139,445 -j ACCEPT

Dakle, želim da ograničim pristup samo na one portove koje moram.
Pitanje: treba li da dodam i

Code:
iptables -A INPUT -i eth0 -s 192.168.1.0/255.255.255.0 -p icmp -j ACCEPT

da bih propustio i ICMP pakete?
Već je definisano:

Code:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Hoće li ovo posljednje pravilo da propusti sve potrebne ICMP pakete ili treba zaista ono gornje pravilo?
Ne bih da kroz firewall prolazi ništa što ne mora. ;)

Unaprijed hvala.

[ noctua @ 21.02.2005. 08:55 ] @

Pozdrav!

Hm... Nisam siguran kako samba "komunicira" sa ostatkom win-world-a ali (nemoj me drzati za rec) gotovo da ti imcp protokol ne treba i da ga mozes zatvoriti...

Inace, on (icmp protokol) se najcesce koristi u ping-u... pa je cak i pozeljno da ga ukines... To je jedan od dobrih nacina da ti maxina ostane duze vreme mirna od spoljasnjih scanova i sl (pogotovu ako je u pitanju win).

Sa druge strane, mozes pustiti samo pojedine tipove icmp-a (tek koliko da se odradi ping i nista vise) a to su tipovi 0, 3, 5, 8, i 11. Dakle nesto ovog tipa:

Code:

  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 0 -j ACCEPT
  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT
  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 5 -j ACCEPT
  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
  iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

E, a ako se brines o "pingu (do) smrti" ili o slicnim poslasticama, postoji i za to resenje... kolko se secam odbacuju se paketi ciji je ttl van okvira odredjenih granica...

To sto je definisano ...ESTABLISHED i RELATED se odnosi na vec uspostavljene konekcije a ne na to sto ti hoces...

Nego da skratim pricu, po mom misljenju, ukoliko ga samba explicitno ne zahteva, NIJE ti potreban icmp protokol ( time gubis i PING) i ne moras da unosis ... -p ICMP -j ACCEPT... cak stavise mozes explicitno i da zabranis: ... -P ICMP -j DROP

PS. Generalno gledano, malo je ljudi koji uopste znaju da postoji ICMP... a jos je manje onih koji bi znali sta bi uradili sa njim... a da ne pricamo o broju onih koji bi znali da to i zloupotrebe, takvi bi se mogli "na prste" pobrojati...

PPS. A, ako nije tajna, cemu ce sluziti tako paranoicno stegnuta mreza??? Pravis DMZ? Vezbas se?

[ Not now, John! @ 21.02.2005. 10:05 ] @

Malo sam čitao o administraciji mreža, Samba i sl. pa pitam čisto edukativno.
Nakon što sam postavio pitanje našao sam u iptables manualu:

Citat:

RELATED meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.

što je vjerovatno sve što mi treba od ICMP.

Hvala na odgovoru.

BTW, šta je DMZ?

[ dpop @ 21.02.2005. 12:40 ] @

Neće biti loše da pogledaš malo npr. http://www.shorewall.net i potražiš pojam DMZ....Inače ShoreWall je jedna od najkompletnijih iptables/netfilter firewall solucija i postoji i kao i RPM i DEB i TGZ...

Ako su ti potrebe manje kompleksne, pokušaj sa firestarter-om
http://www.fs-security.com/