INT-firewalld konfiguration
From Datateknik
(Difference between revisions)
(→Lägg till PING och TRACERT) |
(→Överkurs) |
||
| (2 intermediate revisions by one user not shown) | |||
| Line 34: | Line 34: | ||
* Ändra icmp-block-inversion till YES | * Ändra icmp-block-inversion till YES | ||
| − | * Öppna för echo-request echo-reply och destination-unreachable ENDAST | + | * Öppna för echo-request, echo-reply och destination-unreachable ENDAST |
firewall-cmd --get-icmptypes | firewall-cmd --get-icmptypes | ||
firewall-cmd --zone=kompisar --add-icmp-block-inversion | firewall-cmd --zone=kompisar --add-icmp-block-inversion | ||
| Line 47: | Line 47: | ||
kompisar (active) | kompisar (active) | ||
target: default | target: default | ||
| − | icmp-block-inversion: | + | icmp-block-inversion: yes |
interfaces: | interfaces: | ||
sources: 193.10.128.0/17 2001:1:2::0/64 | sources: 193.10.128.0/17 2001:1:2::0/64 | ||
| Line 56: | Line 56: | ||
forward-ports: | forward-ports: | ||
sourceports: | sourceports: | ||
| − | icmp-blocks: | + | icmp-blocks: destination-unreachable echo-reply echo-request |
rich rules: | rich rules: | ||
drop (active) | drop (active) | ||
target: default | target: default | ||
| − | icmp-block-inversion: | + | icmp-block-inversion: yes |
interfaces: ens160 | interfaces: ens160 | ||
sources: | sources: | ||
| Line 81: | Line 81: | ||
'''firewall-cmd --direct --get-all-rules''' | '''firewall-cmd --direct --get-all-rules''' | ||
ipv4 filter INPUT 0 -m state --state NEW -j LOG '--log-prefix=RobLog ' | ipv4 filter INPUT 0 -m state --state NEW -j LOG '--log-prefix=RobLog ' | ||
| + | = iptables utan fail2ban = | ||
| + | Detta fungerar, men: | ||
| + | <br>det kommer även att låsa ut giltiga användare om de loggar in och ut flera gånger med *rätt* lösenord | ||
| + | |||
| + | -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource | ||
| + | -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 6 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP | ||
Latest revision as of 15:24, 10 February 2019
Nedanstående fungerar ej!
Contents |
[edit] Skapa nya zoner
When adding a zone, you must add it to the permanent firewall configuration. You can then reload to bring the configuration into your running session. For instance, we could create the two zones we discussed above by typing:
firewall-cmd --permanent --new-zone=kompisar firewall-cmd --permanent --new-zone=allihopa firewall-cmd --permanent --zone=drop --change-interface=ens160 firewall-cmd --reload firewall-cmd --permanent --get-zones firewall-cmd --permanent --list-all-zones | grep -A 14 active
[edit] Lägg in vilka nät
firewall-cmd --permanent --zone=kompisar --add-source="193.10.128.0/17" firewall-cmd --permanent --zone=kompisar --add-source="212.25.132.0/23" firewall-cmd --permanent --zone=kompisar --add-source="2001:0DB8::/32" firewall-cmd --reload firewall-cmd --permanent --list-all-zones | grep -A 14 active
- Nytt kommando ?? firewallctl zone "home" --permanent add source "2001:0DB8::/32"
[edit] Lägg till tjänster
sudo firewall-cmd --zone=kompisar --add-service=ssh sudo firewall-cmd --zone=allihopa --add-service=http sudo firewall-cmd --zone=allihopa --add-service=https firewall-cmd --runtime-to-permanent firewall-cmd --reload firewall-cmd --zone=kompisar --list-all firewall-cmd --zone=allihopa --list-all
[edit] Lägg till PING och TRACERT
- Ändra icmp-block-inversion till YES
- Öppna för echo-request, echo-reply och destination-unreachable ENDAST
firewall-cmd --get-icmptypes firewall-cmd --zone=kompisar --add-icmp-block-inversion firewall-cmd --zone=kompisar --add-icmp-block=echo-request firewall-cmd --zone=kompisar --add-icmp-block=echo-reply firewall-cmd --zone=kompisar --add-icmp-block=destination-unreachable firewall-cmd --runtime-to-permanent
Resultat
firewall-cmd --list-all-zones | grep -A 14 active kompisar (active) target: default icmp-block-inversion: yes interfaces: sources: 193.10.128.0/17 2001:1:2::0/64 services: ssh ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: destination-unreachable echo-reply echo-request rich rules: drop (active) target: default icmp-block-inversion: yes interfaces: ens160 sources: services: dns http ports: 8080 protocols: masquerade: no forward-ports: sourceports: icmp-blocks: destination-unreachable echo-reply echo-request rich rules:
[edit] KONTROLLERA RESULTAT
- Kontrollera att att en port (22) inte är definierad samtidigt som en service (ssh)
Det skall bara finnas ett "hål" i brandväggen per tjänst, inte två! - iptables -v -L
- ip6tables -v -L
[edit] Överkurs
firewall-cmd --direct --get-all-rules ipv4 filter INPUT 0 -m state --state NEW -j LOG '--log-prefix=RobLog '
[edit] iptables utan fail2ban
Detta fungerar, men:
det kommer även att låsa ut giltiga användare om de loggar in och ut flera gånger med *rätt* lösenord
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 6 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP
