Kapsamlı bir firewall yapılandırması örneği

Başlatan ugurcetin067, 29 Şubat 2016 - 00:20:20

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

ugurcetin067

-Yerel ağımızdaki (LAN: 192.168.1.0/24) kullanıcıların 192.168.1.1 adresindeki güvenlik duvarı üzerinden yalnızca HTTP (port 80) ile web sayfalarına ulaşabilmelerini istiyoruz. (İnternet ip adresi: 212.156.45.35 )
-Yerel ağımızdaki kullanıcıların DMZ ( 10.0.0.0/8) içerisindeki dosya ve e-posta sunucularına yalnızca belirli portlardan ulaşabilmelerini istiyoruz.
-Internet üzerindeki kullanıcıların, DMZ içerisindeki e-posta sunucusuna POP3 ve SMTP portları ile, ayrıca webmail için HTTP ile erişebilmelerini istiyoruz.
-DMZ içerisindeki e-posta sunucusunun yalnızca SMTP portu ile Internet üzerindeki herhangi bir sunucuya ulaşabilmesini istiyoruz.
-DMZ içerisindeki sunucuların LAN erişimi olmamasını istiyoruz.
-Internet üzerinden LAN erişimi mümkün olmasın ve belirttiğimiz istisna dışında Internet üzerinden DMZ erişimi de mümkün olmasın istiyoruz.

Şimdi kurallarımızı ekleyelim...


#!/bin/sh
# Temizle
iptables -t nat -F
iptables -t nat -X

iptables -F
iptables -X

# NAT Kuralları
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 212.156.45.35
iptables -t nat -A POSTROUTING -s 10.0.0.0/8     -o eth1 -j SNAT --to 212.156.45.35
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dports 25,80,110 -j DNAT --to 10.0.0.2

# Filtering kuralları
iptables -P FORWARD DROP
# Internet üzerinden mail server erişimi izni
iptables -A FORWARD -i eth1 -p tcp -m multiport --dports 25,80,110 -d 10.0.0.2 -j ACCEPT
# Mail server'in Internet'e erişim izni
iptables -A FORWARD -i eth2 -s 10.0.0.2 -p tcp --dport 25 -o eth1 -j ACCEPT
# LAN -> Internet erisim izinleri
iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT

# LAN -> DMZ erişim izinleri
# Mail server
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.0.2 -p tcp -m multiport --dports 25,110 -o eth2 -j ACCEPT
# File server
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.0.3 -p tcp -m multiport --dports 139 -o eth2 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.0.3 -p udp -m multiport --dports 137,138 -o eth2 -j ACCEPT

# Tüm gelen bağlantıları yasakla
iptables -P INPUT DROP

# Loopback'den gelen bağlantıları kabul et
iptables -A INPUT -i lo -j ACCEPT
# SSH bağlantılarını yerel ağdan kabul et
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# Internet yönünden gelen SSH bağlantılarını kabul et
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT



1. satır, bu dosyanın bir shell script olduğunu belirtmek için kullanılıyor. 3. ve 4. satırlar, NAT tablosu içerisindeki tüm kuralları ve kullanıcı tanımlı zincirleri silecek. 6. ve 7. satırlar bu işi Filter tablosu için yapacak. 10. satır, LAN -> Internet yönünde gidecek olan paketlere SNAT uygulayarak yerel ağdaki kullanıcıların Internet'e bağlanmasını sağlayacak. 11. satır, DMZ -> Internet yönünde erişimi SNAT ile sağlayacak. 12. satır, Internet üzerinden TCP port 25 (smtp), 80 (http) veya 110 (pop3) ile gelen kullanıcıların DMZ içerisindeki e-posta sunucusuna yönlendirilmelerini sağlayacak. 15. satır, filter tablosundaki FORWARD zincirinin öntanımlı kuralını DROP olarak değiştirecek, böylece öntanımlı olarak tüm routing işlemlerini kapatmış olacağız. Diğer satırlarda tanımlanan istisnalarla gerektiği kadarını açacağız.

İyi Çalışmalar


Kaynek : http://ugurlublog.com/kapsamli-bir-firewall-yapilandirmasi-ornegi/

arpia

Elinize sağlık, güzel anlatım olmuş. Fakat başlıktaki "kapsamlı" kısmı kaldırılabilir bence, zira güzel bir yapılandırma var ama kapsamlı mı? Hayır değil. En azından syn flood içerse biraz daha kapsamlı olabilirdi.
Şuanki hali güvenlik duvarı işinden çok gerekli yönlendirmeleri yapıyor. Fakat yapılacak saldırılar üzerine düşünülüp bu yapılandırma geliştirilecekse o zaman diyecek bir şey yok.

Şunlara göz atılabilir,
syn-ack-flood (limit) RFC4987 göz atılabilir
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN
flags (ALL)
DDOS
icmp smurf (isteğe bağlı  - Drop durumu ayrıca güvenlik açığı doğurabilir)
Bütün paket düşürüleceğine farklı yaptırıma gidilebilir.
iptables -A INPUT -p icmp -m limit --limit 2/second --limit-burst 2 -j ACCEPT
v.b

Elinize, emeğinize sağlık. Devamı daha da güzel olacaktır.

Deathangel

eyer uygun olursa madem network güvenligi konusunda konusuyoruz port tabanlı kimlik dogrulama konusunda 2 tane pdf atabılırım yararlı olacagını dusunuyorum sizin için uygunmudur ?
in a world without fences and walls, who needs gates and windows

keyserver2.pgp.com
EA004CB1-->privatekey0@gmail.com

ahmet_matematikci

pdf yi direk burda yada wiki de paylaşsanız olur mu ;D ;D
♥ Kız tavlamak için kahraman olmak gerekmez. Doğru kadın zaten sizi kahraman yapar ;)

heartsmagic

Viki olmaz :) Viki'deki madde yazım şekillerine biraz aşına olmak lazım. Dışarıda olan kaynaklar için pek tercih etmiyoruz kendisini.
Forumda PDF paylaşımı yapılabilir ancak harici kaynaklar bölümünde olursa güzel olur. Bu arada paylaşılan kaynağın da lisans sorunu olmaması lazım :)
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.