Вопросы по RHCE...№1

В этом разделе Вы можете обсудить вопросы, связанные с обучением и сертификацией специалистов по различным Unix / Linix -ам.
BETEPOK(xxx)
Сообщения: 95
Зарегистрирован: 01 янв 1970 03:00

Вопросы по RHCE...№1

Сообщение BETEPOK(xxx) » 16 дек 2009 22:26

Привет,

Допустим я заморочился устанавливать через NFS. На сервере модифицировал /etc/exports, затем укоренил через exportfs.
Пытаюсь инсталировать, dmesg выдаёт
RPC: failed to contact portmap (errno -5).

Оки понятно думаю я себе. Флашаю iptables -F.
Всё равно не работает...
Тогда "service iptables stop"
Ага, заработало...

Вопрос:
Как настроить iptables чтобы оно логоровало всё в какой нить файлик типа /var/log/firewall ?

BETEPOK(xxx)
Сообщения: 95
Зарегистрирован: 01 янв 1970 03:00

Вопросы по RHCE...№1

Сообщение BETEPOK(xxx) » 16 дек 2009 22:29

я понимаю что есть опция LOG. Но тогда нужно править каждое правило. А хотелось бы глобально.

И ещё, почему "iptables -F" не разблокировал NFS?

Dmitriy Khan(TikchiktankapunPikshiktolkotun)
Сообщения: 1101
Зарегистрирован: 01 янв 1970 03:00

Вопросы по RHCE...№1

Сообщение Dmitriy Khan(TikchiktankapunPikshiktolkotun) » 23 дек 2009 02:30

проще во время тестов в соседней консоли жмакнуть tcpdump и отслеживать трафик (с фильтрами, а то слишком много)

а про service iptables stop
редхат в скриптах используют 2 функции: вычистить все правила и сбросить полиси
Но! по дефолту, редхат не использует полиси, а создают цепочку с правилами последнее из которых reject. в инпут и форвард вставляют переход в это правило. и -F должен вынести все на ура.
Если же поиграться с полиси вручную (iptables -P INPUT DROP) и после этого флешить - полиси останутся. А service iptables stop сбросит и полиси (и модули выгрузит)

BETEPOK(xxx)
Сообщения: 95
Зарегистрирован: 01 янв 1970 03:00

Вопросы по RHCE...№1

Сообщение BETEPOK(xxx) » 28 дек 2009 18:42

Дима, пасибки за совет, я всё же хотел в отдельный лог файл.

Короче саймый безабидный способ это создать "сustom_firewall.sh" скрипт, где собственно задаются правила. Блокируем телнет, фтп, и веб.
Указываем log-level 7, что есть debug. Т.е. логи пойдут в kernel_debug, kern.debug.'
В /etc/syslog.conf добавляем линию
kern.=debug /var/log/iptables.log

Это самый безобидный способ о котором я мог подумать....

[root@rhel5 sysconfig]# cat custom_firewall.sh
#! /bin/bash
#
# Define a local variable, IPTABLES
export IPTABLES=/sbin/iptables

# Flush out all existing rules
$IPTABLES -F INPUT

# Set default Policy for Input, Output and Forward chains
# If nothing else matches, these are followed
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Allow self-access by loopback interface
$IPTABLES -A INPUT -i lo -p all -j ACCEPT
$IPTABLES -A OUTPUT -o lo -p all -j ACCEPT

# Accept established connections
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p udp -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p icmp -m state --state ESTABLISHED -j ACCEPT

# Ping requests
$IPTABLES -A INPUT -p icmp -j ACCEPT

# FTP requests - not secure enough
$IPTABLES -A INPUT -p tcp --dport 20 -j LOG --log-prefix "BLOCK_FTP: " --log-level 7
$IPTABLES -A INPUT -p tcp --dport 20 -j DROP
$IPTABLES -A INPUT -p tcp --dport 21 -j LOG --log-prefix "BLOCK_FTP: " --log-level 7
$IPTABLES -A INPUT -p tcp --dport 21 -j DROP

# TelNet requests - not secure enough
$IPTABLES -A INPUT -p tcp --dport 23 -j LOG --log-prefix "BLOCK_TELNET: " --log-level 7
$IPTABLES -A INPUT -p tcp --dport 23 -j DROP

# Block HTTP requests - not secure enough
$IPTABLES -A INPUT -p tcp --dport 80 -j LOG --log-prefix "BLOCK_HTTP: " --log-level 7
$IPTABLES -A INPUT -p tcp --dport 80 -j DROP

#Allow HTTPS
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT

# SSH requests - allows ssh, scp and sftp requests
#$IPTABLES -A INPUT -p tcp --dport 22 -s 192.168.88.0/255.255.255.0 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

# If more than 5 packets are dropped in 3 seconds they will be ignored
# Helps to prevent a DOS attack crashing the computer
$IPTABLES -A INPUT -m limit --limit 3/second --limit-burst 5 -i ! lo -j LOG --log-level 7

# NFS
$IPTABLES -A INPUT -p tcp --dport nfs -s 192.168.88.0/255.255.255.0 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport nfs -s 192.168.88.0/255.255.255.0 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 111 -s 192.168.88.0/255.255.255.0 -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Keep track of log in attempts - kern.messages
$IPTABLES -A INPUT -j LOG --log-prefix "INPUT_DROP: " --log-level 7
#$IPTABLES -A OUTPUT -j LOG --log-prefix "OUTPUT_DROP: " --log-level 7


-------------------------------------------------------------------------------
[root@rhel5 sysconfig]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console

kern.=debug /var/log/iptables.log

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages

Dmitriy Khan(TikchiktankapunPikshiktolkotun)
Сообщения: 1101
Зарегистрирован: 01 янв 1970 03:00

Вопросы по RHCE...№1

Сообщение Dmitriy Khan(TikchiktankapunPikshiktolkotun) » 29 дек 2009 12:31

ну хозяин барин :-)

(фильтры в иптаблес, а потом еще фильтры по логу... ethereal или wireshark - там хоть окошечки и удобно все)


Вернуться в «Сертификация: Unix / Linux»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя