esercizio iptables

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

esercizio iptables

Messaggioda thaiboxer89 » mercoledì 21 marzo 2018, 19:21

Salve a tutti potreste darmi una mano a svolgere questo esercizio tramite gli iptables? se avete anche qualche guida dettagliata per approfondire ve ne sarei grato....vi allego lo schema sotto

Abbiamo:
- Router per la connettività internet
-DMZ con Server web e ftp
-Il portale interno studenti è attivo su porta 8080
- il sito web pubblico è attivo solo su https
- Rete studenti
- Rete docenti
1. Scrivere le regole di firewalling (iptables) per garantire le seguenti situazioni:
a. Solo le reti dei professori e degli studenti possono accedere al server FTP (solo modalità passiva)
b. il portale interno è accessibile solo dalla rete studenti
c. il sito web pubblico è accessibile ovunque solo con https
d. Professori e studenti possono navigare su internet
e. Solo la rete professori può utilizzare i protocolli di posta.
f. Solo pc1 può connettersi in ssh ai server su dmz
g. Dall'esterno (ext) si può contattare solo il server web sulla porta HTTPS
Il restante traffico deve essere vietato.

qui l'immagine della intranet https://ibb.co/mEn0pc
Avatar utente
thaiboxer89
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 317
Iscrizione: settembre 2011

Re: esercizio iptables

Messaggioda thaiboxer89 » giovedì 22 marzo 2018, 18:17

Questa è la mia soluzione:

a. Solo le reti dei professori e degli studenti possono accedere al server FTP (solo modalità passiva)
iptables -t filter -A FORWARD -i eth0 -s 10.0.0.1/24 -d 10.0.3.11/24 -p tcp --dport 21 -j ACCEPT

iptables -t filter -A FORWARD -i eth3 -s 10.0.3.11/24 -p tcp --sport 21 -d 10.0.0.1/24 --dport 1023: -m state --state established, related -j ACCEPT

iptables -t filter -A FORWARD -i eth1 -s 10.0.1.1/24 -d 10.0.3.11/24 -p tcp --dport 1023: -m state --state established,related -j ACCEPT 

iptables -t filter -A FORWARD -i eth3 -s 10.0.3.11/24 -p tcp --sport 1023: -d 10.0.1.1/24 --dport 1023: -m state --state established, related -j ACCEPT

iptables -t filter -A FORWARD -j DROP



b. il portale interno è accessibile solo dalla rete studenti
iptables -A INPUT -p tcp -s 10.0.1.1/24 --dport 8080 -j ACCEPT
c. il sito web pubblico è accessibile ovunque solo con https
iptables -A INPUT -p tcp –dport 443 -j ACCEPT

d. Professori e studenti possono navigare su internet
iptables -A INPUT -p tcp -s 10.0.0.1/24 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 10.0.0.1/24 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp s 10.0.1.1/24 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 10.0.1.1/24 --dport 443 -j ACCEPT

e. Solo la rete professori può utilizzare i protocolli di posta.

iptables -A FORWARD -i eth0 -o eth3 -p tcp –dport 25 -j ACCEPT

f. Solo pc1 può connettersi in ssh ai server su dmz
iptables -A FORWARD -p tcp -s 10.0.0.20/24 –dport 22 -j ACCEPT
g. Dall'esterno (ext) si può contattare solo il server web sulla porta HTTPS

iptables -A INPUT -p tcp -i eth2 -o eth3 --dport 443 -j ACCEPT
Il restante traffico deve essere vietato.
iptables -P INPUT DROP
iptables -P FORWARD DROP



Potreste dirmi se c'è qualcosa che non và e da correggere? altra cosa non mi è ancora bene chiaro se in alcuni punti usare forward piuttosto che input o output, potreste spiegarmi meglio in quale punti usarli?
Avatar utente
thaiboxer89
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 317
Iscrizione: settembre 2011


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 4 ospiti