Firewall skrypt iptables 1 Zadania do wykonania Firewall skrypt iptables Nr 1 Jesteś administratorem sieci osiedlowej z 20 klientami. W sieci wykorzystujemy komputer, który pełni rolę routera, serwera www, serwera ftp, serwera proxy oraz uruchomiona jest usługa zdalnego logowania ssh. Komputer ma zainstalowany system operacyjny Linux z jądrem 2.6.x oraz posiada 2 interfejsy sieciowe eth0 i eth1. Należy zaprojektować skrypt firewall'a oparty o iptables. W sieci lokalnej użytkownicy powinni mieć dostęp do sieci do określonych usług w zależności od następującej taryfy: platynowa dostęp pełny złota brak możliwości korzystania z sieci P2P, FTP srebrna brak możliwości korzystania z usług typu GG, wpkontakt, tlen i czaty i usług P2P oraz FTP podstawowa możliwość korzystania wyłącznie z www oraz poczty Na serwerze można korzystać z następujących usług: www, ftp, ssh i poczta adresy interfejsów eth0: 195.203.168.23 i eth1: 192.168.0.1/24 adres sieci osiedlowej: 192.168.1.0/24 skrypt ma zawierać możliwość wykonania w 3 wariantach: z parametrem -c - czyści wszystkie regułki i ustawia otwartą politykę, -t - wykonuje skrypt a po 30s czyści wszystkie regułki, oraz bez parametrów - konfiguruje iptables. po 5 komputerów z sieci posiada kolejne taryfy wykonać maskaradę skrypt ma wykorzystywać rozpoznawanie użytkownika po mac adresie karty sieciowej strony www i ftp mają przechodzić przez serwer proxy ( port 8080 ) Nr 2 Jesteś administratorem sieci w prywatnej firmie z 30 komputerami. W sieci wykorzystujemy komputer, który pełni rolę routera, serwera www, serwera pocztowego, serwera proxy, oraz uruchomiona jest usługa zdalnego logowania ssh. Komputer ma zainstalowany system operacyjny Linux z jądrem 2.4.x oraz posiada 2 interfejsy sieciowe eth0 i eth1. Należy zaprojektować skrypt firewall'a oparty o iptables. W sieci lokalnej użytkownicy powinni mieć dostęp do sieci do określonych usług w zależności od uprawnień: informatycy pełny dostęp dyrekcja usługi dostępne: www, poczta, ftp, komunikatory administracja usługi dostępne www, poczta, usługa bankowa dostępna na porcie 4231 pozostali www Na serwerze możemy korzystać z usług: www, ftp, poczty, ssh adresy interfejsów eth0: 213.32.11.41 i eth1: 10.10.0.1/16 adres sieci osiedlowej: 10.10.0.0/16 wykorzystać Żródłowy NAT w sieci nie mają być dostępne pingi na serwer na żadny interfejs.
Firewall skrypt iptables 2 skrypt ma zawierać możliwość wykonania w 3 wariantach: z parametrem czysc - czyści wszystkie regułki i ustawia otwartą politykę, tymcz - wykonuje skrypt a po 30s czyści wszystkie regułki, oraz bez parametrów - konfiguruje iptables. 3 komputery posiadają informatycy, 2 dyrekcja, 10 posiada administracja a resztę stanowią pozostali w sieci jest zainstalowany serwer proxy, pracuje na porcie 3128 wykorzystać polecenie owner do filtrowania pakietów na podstawie konkretnego użytkownika Nr 3 Jesteś właścicielem łącza wykupionego w firmie X. Mieszkasz w domku i chcesz rozdzielić to łącze na 4 komputery. Posiadasz starszy komputer, który wykorzystasz jako router w swojej sieci domowej. Zainstalowany system to Linux z jądrem 2.4.x. Twoim zadaniem jest napisanie skryptu firewall'a opartego o iptables w taki sposób aby maksymalnie ukryć fakt przed firmą X, że z łącza korzysta więcej osób. Na routerze możemy używać usług: www, ftp, ssh i poczty adresy interfejsów eth0: 194.204.12.221 i eth1: 192.168.10.1/24 adres sieci domowej: 192.168.10.0/24 skrypt ma zawierać możliwość wykonania w 3 wariantach: z parametrem czysc - czyści wszystkie regułki i ustawia otwartą politykę, tymcz - wykonuje skrypt a po 30s czyści wszystkie regułki, oraz bez parametrów - konfiguruje iptables. Nr 4 Jesteś administratorem szpitala posiadającego 50 komputerów. W sieci masz 4 serwery Linuxowe, router główny, serwer www, serwer ftp oraz router sieci LAN. Serwer www i ftp znajdują się w DMZ. Router główny ma 2 interfejsy eth0 podpięty do internetu, eth1 podpięty do DMZ. Router sieci LAN posiada 2 interfejsy eth0 podpięty do DMZ, eth1 podpięty do sieci LAN. Wszystkie serwery mają zainstalowany system Linux z jądrem 2.6.x. Twoim zadaniem jest napisanie skryptów firewall'a znajdujących się na routerze głównym i routerze sieci LAN. adresy zewnętrzny 17.23.11.2 adres DMZ: 192.168.0.0/28 adres sieci LAN:10.0.0.0/8 wykorzystać źródłowy NAT skrypt ma sprawdzać właściciela pakietów ( poprzez moduł ) komputery powinny być podzielone w zależności od następujących grup: administratorzy pełny dostęp 5 komputerów dyrekcja dostęp pełny 2 komputery administracja www, ftp, usługa bankowa na porcie 5389 10 komputerów lekarze www, ftp, komunikatory, czaty 20 komputerów pielegniarki www 5 komputerów pozostali brak dostępu do internetu
Firewall skrypt iptables 3 Nr 5 Jesteś administratorem sieci firmy X posiadającej 35 komputerów. Do połączenia sieci lokalnej wykorzystujemy serwer Linux oparty na jądrze 2.4.x jako router. Posiada on dwa interfejsy sieciowe eth0 interfejs podłączony do internetu, oraz eth1 interfejs podpięty do siec lokalnej. W sieci lokalnej firma posiada serwer www oraz serwer proxy. Twoim zadaniem jest napisanie skryptu firewall'a znajdujący się na routerze firmowym. Na routerze można korzystać z www, ftp, ssh oraz webmina. adres interfejsu zewnętrznego eth0: 42.113.26.30 adres sieci LAN: 192.168.200.0/25 w sieci nie mają być dostępne pingi na serwer na żaden interfejs. skrypt ma zawierać możliwość wykonania w 3 wariantach: z parametrem -c - czyści wszystkie regułki i ustawia otwartą politykę, -t - wykonuje skrypt a po 30s czyści wszystkie regułki, oraz bez parametrów - konfiguruje iptables. ruch www ma przechodzić przez serwer proxy adres 192.168.200.5 port 8080 komputery w sieci LAN powinny być podzielone na 5 grup w zależności od dostępu Nr 6 Jesteś właścicielem łącza wykupionego w firmie X. Mieszkasz w bloku i chcesz rozdzielić łącze na kilka komputerów. Posiadasz starszy komputer, który wykorzystasz jako router w swojej sieci. Komputer, który będzie pracował jako router będzie również serwerem proxy. Zainstalowany system to Linux z jądrem 2.4.x. Twoim zadaniem jest napisanie skryptu firewall'a opartego o iptables. Komputer posiada dwa interfejsy ppp0 interfejs podpięty do internetu oraz eth0 interfejs podpięty do sieci LAN. Na routerze można korzystać tylko z www. adres interfejsu zewnętrznego ppp0: przydzielany dynamicznie adres sieci LAN: 10.1.0.0/16 w sieci nie mają być dostępne pingi na serwer na żaden interfejs. serwer proxy ma działać na porcie 3128 skrypt ma mieć logowanie pakietów odrzuconych z limitem co 5 sekund skrypt ma być odporny na ataki typu DoS'a udostępnić usługi dla komputerów w sieci LAN względem uznania Nr 7 Wykonać uniwersalny skrypt firewall'a oparty na zmiennych. Skrypt ma mieć możliwość wprowadzenia 2 interfejsów sieciowych dla sieci zewnętrznej i wewnętrznej. Ma mieć możliwości wprowadzenia usług dostępnych w sieci LAN. Ma mieć możliwość blokowania po adresie IP. Zabezpieczyć sieć LAN na ataki zewnętrzne np. typu DoS. Wykorzystać maksymalnie dużo modułów ładowanych podczas startu skryptu. Skrypt ma mieć możliwości uruchomienia testowego, włączania i wyłączania firewall'a. Wykorzystać maskaradę. Nr 8 Jesteś właścicielem łącza wykupionego w firmie X. Mieszkasz w domku i chcesz rozdzielić to łącze
Firewall skrypt iptables 4 na 4 komputery. Posiadasz starszy komputer, który wykorzystasz jako router w swojej sieci domowej. Zainstalowany system to Linux z jądrem 2.4.x. Twoim zadaniem jest napisanie skryptu firewall'a opartego o iptables w taki sposób aby maksymalnie ukryć fakt przed firmą X, że z łącza korzysta więcej osób. Na routerze możemy używać usług: www, ftp, ssh i poczty adresy interfejsów eth0: 213.44.218.111 i eth1: 192.168.7.254/24 adres sieci domowej: 192.168.7.0/24 skrypt może wykorzystywać tylko filtrację opartą na łańcuchach INPUT, OUTPUT i FORWARD bez sprawdzania stanów skrypt ma zawierać możliwość wykonania w 3 wariantach: z parametrem c - czyści wszystkie regułki i ustawia otwartą politykę, t - wykonuje skrypt a po 30s czyści wszystkie regułki, s konfiguruje iptables. Nr 9 Jesteś administratorem sieci osiedlowej z 300 klientami. W sieci wykorzystujemy komputer, który pełni rolę routera, serwera www, serwera ftp, serwera proxy oraz uruchomiona jest usługa zdalnego logowania ssh i webmin. Komputer ma zainstalowany system operacyjny Linux z jądrem 2.6.x oraz posiada 2 interfejsy sieciowe eth0 i eth1. Należy zaprojektować skrypt firewall'a oparty o iptables. W sieci lokalnej użytkownicy powinni mieć dostęp do sieci do określonych usług w zależności od następującej taryfy: FULL dostęp pełny BEST brak możliwości korzystania z sieci P2P, FTP GOOD brak możliwości korzystania z usług typu GG, wpkontakt, tlen i czaty i usług P2P oraz FTP, ssh, webmina NORMAL możliwość korzystania wyłącznie z www, poczty, ftp i gg ECONOMY - możliwość korzystania wyłącznie z www oraz poczty DENY zablokowany dostęp Na serwerze można korzystać z następujących usług: www, ftp, ssh i poczta adresy interfejsów eth0: 17.53.22.11 i eth1: 172.16.0.1/16 adres sieci osiedlowej: 172.16.0.0/16 skrypt może wykorzystywać tylko filtrację opartą na łańcuchach INPUT, OUTPUT i FORWARD bez sprawdzania stanów podzielić komputery na poszczególne taryfy wykonać źródłowy NAT skrypt ma wykorzystywać rozpoznawanie użytkownika po mac adresie karty sieciowej wszystkie usługi mają przechodzić przez serwer proxy ( port proxy 8080 ) wykorzystać zmienne Nr 10 Jesteś administratorem sieci firmy X posiadającej 60 komputerów. Do połączenia sieci lokalnej wykorzystujemy serwer Linux oparty na jądrze 2.6.x jako router. Posiada on dwa interfejsy sieciowe wlan0 interfejs podłączony do internetu, oraz eth0 interfejs podpięty do siec lokalnej. W sieci
Firewall skrypt iptables 5 lokalnej firma posiada serwer www, ftp oraz serwer proxy. Twoim zadaniem jest napisanie skryptu firewall'a znajdujący się na routerze firmowym. Na routerze można korzystać z www, ssh oraz webmina. adres interfejsu zewnętrznego 80.48.150.2 adres sieci LAN: 192.168.14.0/24 wykorzystać źródłowy NAT z limitami skrypt ma zawierać możliwość wykonania w 3 wariantach: z parametrem -c - czyści wszystkie regułki i ustawia otwartą politykę, -t - wykonuje skrypt a po 30s czyści wszystkie regułki, s konfiguruje iptables. ruch www ma przechodzić przez serwer proxy adres 192.168.14.2 port 3128 stworzyć 10 grup dostępu wykorzystać zmienne skrypt może wykorzystywać tylko filtrację opartą na łańcuchach INPUT, OUTPUT i FORWARD bez sprawdzania stanów blokować na interfejsie lokalnym identa, socks, broadcasty, adresacje IP z innych klas adresów prywatnych, multicast'y, loopback Nr 11 Jesteś administratorem w urzędzie z dużą liczbą komputerów. Posiadasz wiele podsieci z których każda określa poziom dostępu. Posiadasz komputer który ma być routerem dostępu do internetu. Zainstalowany system to Linux z jądrem 2.6.x. Router posiada 2 interfejsy sieciowe eth0 podłączony do internetu i eth1 podłączony do LAN. Twoim zadaniem jest wykonanie skryptu firewall'a bazującego na regułach iptables. Na routerze nie można korzystać z żadnych usług. adres zewnętrzny eth0: 52.22.11.55 adres sieci LAN: 10.0.0.0/8 wykorzystać źródłowy NAT skrypt ma posiadać logowanie pakietów z łańcucha FORWARD wykorzystać zmienne wykorzystać maksymalnie dużo modułów wykorzystać co najmniej 16 podsieci do podziału sieci względem poziomu dostępu wykorzystać opcję --mac dla niektórych komputerów mających dostęp do danych usług wykorzystać blokowanie usług po adresie IP lub porcie Nr 12 Wykonać skrypt firewall'a wykorzystujący maksymalnie dużo ogólnie dostępnych modułów, udostępniających dla administratora dodatkowe możliwości wraz z dokładnym opisem sposobu użycia.
Firewall skrypt iptables 6 I N F O R M A C J E D L A S T U D E N T A Po otrzymaniu zadania należy się z nim zapoznać a w przypadku niejasności należy uzgodnić szczegóły z prowadzącym. Do zaliczenia potrzebne są: skrypt w formie elektronicznej o nazwie rc.firewall_nr dokumentacja zawierająca: a) opis firewall'a b) rozrysowany schemat sieci wraz z interfejsami routerów i przykładowymi komputerami c) wersje wydrukowaną całego skryptu wiedza dotycząca własnego skryptu Mini-HowTo-jak zacząć W konsoli tekstowej tworzymy plik tekstowy touch rc.firewall Następnie nadajemy mu prawa wykonywania chmod 744 rc.firewall Edytujemy plik - najłatwiej w Midnight Commander'rze mc Na pliku F4 i edytujemy. Pierwsza linia powinna wyglądać następująco #!/bin/bash Komentarze poprzedzamy znakiem # Zapis F2 i wyjście z edycji F10 Dalej...no cóż życzę powodzenia :) L I T E R A T U R A [1] http://lukasz.bromirski.net/docs_tlumaczenia.php [2] http://debian.one.pl/howto/iptables/iptables2-pl.html [3] http://www.ziolek.piotrkow.pl/linux/iptablesi.htm [4] http://iptables-tutorial.frozentux.net/iptables-tutorial.html [5] http://www.netfilter.org/documentation/index.html [6] manual do iptables (w linuksie napisać polecenie man iptables)