IPtables směrují mimo chtěný prostor

[j]

Minimalne by sis tam mel pridat pravidla, ktery znemoznej odchozi provoz na privatni IPcka a stejne tak prichozi provoz z privatnich/na privatni adresy. Samo pripadne s vyjimkou toho subnetu pres kterej to podruhy natujes.

=> pokud mas ven eth0 a dovnitr eth1 ... tak veskerej provoz kterej pude pres forward, a jako odchozi iface bude mit eth0 ... nesmi mit v dst nic jako 192.168./16, 10./8 ... a samo dalsi dle rfc. Tim zajistis ze tvuj nesmyslnej traffic nebude zatezovat tvoji (a providerovu) linku.

zadruhy ... veskerej provoz, kterej bude mit jako prichozi iface eth0 a v dst bude mit vyse zmineny IPcka nesmi projit, nebot je to zcela zjevny utok na tvoji sit a pokud takovy veci projit nechas, da se uplne vpohode navazat primej spoj s internima strojema, zcela bez ohledu na to, ze sou za NATem.

zatreti ... provoz, kterej prijde na eth0 a bude mit v dst verejnou adresu, ale v src privatni ... bys mel zablokovat taktez, da se to taktez da vyuzit k ruznym typum utoku.

Samo, jak bylo receno, nejlepsi je pristupovat ke kazdymu jednomu zarizeni v siti tak, ze je v siti naprosto verejne, a tudiz by nemelo do te site poskytovat nic, co zcela verejne poskytnout nechces. A uvedom si, ze nastavit korektne firewall tak, aby delal to co chces, a ne co si myslis ze dela ... neni vubec easy.

Jinak doporucuju IPv6, veci to velmi zjednodusuje, nemusis totiz resit co se kde na co preklada a co z toho ve finale vyleze ...

[Reklama]

[Pavouk106]

j: Díky za nasměrování a vysvětlení. Nejsem zase úplnej debil, snažím se to pochopit a naučit, mám před sebou mini seriály "Vše o iptables" a "Stavíme firewall" tady na rootu a prokousávám se tím.

Jinak u mých strojů to mám tak, že služby na který směruju porty, jsou braný jako kdyby stroj visel přímo v internetu. IPv6 mám, takže se podle toho musím taky chovat... (horší už to má brácha s Windows :-) tam se o zabezpečení ale musí postarat Microsoft)

To víte, že by mě zajímalo, jak moc to má všechno nastavený dobře/blbě, ale jak tohle zjistit? Bezpečnostní audit domácnosti platit fakt nechci

Můžu tedy ještě dotaz(y)? Když směruju na routeru vnější port 22 na vnitřní IP na port 22, existuje možnost, že tehle forward bude zneužitej k tomu, aby se útočník dostal jinam, než na SSH na cílovym stroji? Jak?

[j]

To zalezi, jak ten forward mas nastavenej ... iptables umoznuji lecos (da se rict, ze naprosto cokoli). Jinak viz vejs, pokud ti poslu paket, kterej ma src 192.168.x.y ... a dst a.b.c.d (tvoje verejna) na port 22, tak se stane to, ze tvuj stroj prijme paket, a odpoved posle internimu stroji s IP uvedenou v src. Pak samo zalezi na tom, co a jak deravyho bezi na tom dalsim stroji. Jop, uvedom si, ze soucasti src je i port, takze defakto muzu takhle vyvolat komunikaci na port rpc, http ...

[Pavouk106]

j: Díky. Začínám to v tom vidět. Je potřeba si ošéfovat, aby z veřejný IP nechodily dovnitř do sítě pakety z adres, který mám ve vnitřní síti (protože tím pádem by nešlo o moje pakety...).

To bude ještě zajímavý, čeká mě zjevně celkem boj :-)