firewall na RH Linux Enterprise (oracle)

[xWoLf]

imamo na poslu server sa instaliranim linux iz naslova...
na isti sam postavio VNC server za potrebe remote administracije, bilo iz kancelarije gde radim, bilo od kuce.. i to funkcionise, ali samo u lokalnoj mrezi...

Firewall koji je instaliran i aktivan, brani konekcije iz spoljnog sveta (sa interneta)...
jedino je ostavljen ssh da moze da prodje kroz firewall (sto mislim da je s' razlogom, jedno pitanje je u vezi toga!)

1) kako da ubacim rule u firewall da propusti konekciju na port 5901 (VNC:1), ali samo sa IP adrese koju ja odredim.. racunari sa kojih planiram da pristupam imaju staticku ip adresu tako da to nije problem. citao sam da savete na nekim drugim forumima i preporucuju editovanje iptables ( ne znam tacno ime )koji se nalazi u /etc/.... da li je firewall instaliran na rhle pravi firewall ili je baziran na iptables pravilima (ili je to isto).. ne razumem sta ima veci prioritet iptables ili firewall? u svakom slucaju sta treba ubaciti u iptables da firewall ostane aktivan i dalje ali sa izuzetkom u vezi par IP adresa (za njih full pristup mi treba)
2) koliko sam upucen.. ssh je zgodan zbog security i zastite.. predpostavljam da je admin servera (nisam to ja, u pitanju je firma koja je postavila softwer, ja imam admin prava pristupa, ali sistem je donet instaliran - ja samo hocu da ga podesim za svoje potrebe) ostavio otvoren ssh kroz firewall jer preko njega pristupa vnc serveru (tunneling) zbog vece sigurnosti.... Mene zanima, kako se to radi, i sta mi je potrebno od programa za windows da bi to uradio...?

toliko....

 

[zeleni_zub]

iptables je firewall i najverovatnije se on koristi.

Da bi ti neko rekao kako da modifikuješ pravila morao bi da okačiš ovde sadržaj /etc/sysconfig/iptables.

Ili da uradiš "iptables -L -n -v" i da okačiš ovde rezultat.

Pravila u iptables se, kao na svakom firewall-u, izvršavaju redom i ako se taj ko ih je pisao nije oslonio na default policy za chain nego je eksplicitno na kraju stavio drop za sve pakete dodavanjem pravila na sam kraj nećeš ništa dobiti. Tako da je stvarno neophodno da okačiš iptables konfiguraciju pre nego što ti bilo ko da odgovor.

Takođe, ako pogrešiš pri konfigurisanju iptables-a, može da se desi da potpuno onemogućiš pristup serveru preko mreže i da je potrebno da mu pristupiš direktno preko konzole. Ako nemaš direktan pristup serveru ne bih ti preporučio da diraš ništa.

 

[__zevs__]

Samo jedna ispravka
iptables nije firewall vec komanda za manipulisanje pravilima firewalla koji je sastavni deo linux kernela...

 

[xWoLf]

da li postoji neki GUI za manipulisanje tim pravilima.. ali onako.. intuitivno

zar je moguce da i posle toliko godina, sva bitnija sistemska podesavanja moraju da unose u txt editorima u "tamo neke config fajlove u /etc/..."

a posle se cude zasto linux, i pored svih prednosti, nije popularniji medju korisnicima

 

[__zevs__]

a posle se cude zasto linux, i pored svih prednosti, nije popularniji medju korisnicima

Ja bih volio da tako i ostane. Samo mi jos fali da naprave jos jedan windows. Linux je nekomercijalan i ne vidim zasto bi se ljudi koji ga razvijaju trebali toliko ubijati od posla da bi privukli jos nekog korisnika. Bolje da se trude oko nekih bitnih stvari.

Dovoljno je intuitivno i lako, ako neko hoce da procita npr man stranicu, nego ljudi ne vole konzolu... A ti isti i da ima gui bi se zalili kako je lose organizovan, jer su stavke poredane drugacijim redosledom, nego u windowsu npr...

 

[zeleni_zub]

Ne koristim xwindows na serverima, ali mislim da imaš u GNOMEu negde iptables podešavanja. Ja kada sam ih poslednji put video bila su prilično štura. Takođe imaš i raznorazne front-endove za iptables, ali više vremena će ti trebati da ih instaliraš nego što ćeš potrošiti da ručno dodaš nekoliko pravila.

U svakom slučaju sa frontendom ili bez, pre nego što bilo šta pipneš, napravi bekap fajla /etc/sysconfig/iptables. U slučaju nekog problema samo ga vratiš i uradiš: "iptables-restore < /etc/sysconfig/iptables"



@__zevs__: Da, firewall se nalazi u kernelu, ali ga svi jednostavno zovu iptables.
Što se tiče komercijalnosti... RHEL je vrlo komercijalna distribucija.

 

[xWoLf]

to da..
dobra im je fora.. mozes da skines besplatno ISO sa oracle sajta i da instaliras, i sve radi
ali za support/update i sve ostalo ti treba licenca (koja cini mi se nije free, nego je dobijas za $$$)

 

[Aether]

Koja verzija RHEL-a je konkretno u pitanju?

Jos jedna solucija je instalacija shorewall/webmin kombinacije za administriranje firewall-a pomocu web interface-a.

Takodje ako je vnc kompajliran sa libwrap podrskom, moze se jednostavno u /etc/hosts.{allow,deny} podesiti odakle je dozvoljen pristup, a port otvoriti u onom siromasnom firewall setup dialogu u system/administration meniju.

 

[xWoLf]

videcu danas na poslu

99% sam siguran da je sve podeseno tako da se koristi ssh za tunneling tj. preusmeravanje portova kroz zasticenu ssh vezu..

ako je to sto mislim da jeste, nece ni biti potrebno budziti firewall...

 

[xWoLf]

evo famoznog iptables fajla, pa molim dalja upustva:
napomena, u primeru mi pokazite kako da ubacim ip adresu A.B.C.D (samo jednu, ne opseg) za pun pristup sshd-u i vnc server-u

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -i eth0 -s 192.168.0.15/32 -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ntp
-A RH-Firewall-1-INPUT -m udp -p udp --sport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --dport 53 -j ACCEPT


# SSH Access
#  pupin: 
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 147.91.50.33/32 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 147.91.50.55/32 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 195.252.126.130/32 -j ACCEPT
#  local: 
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT

# Oracle:
#  oracle listener
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -s 192.168.0.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5500 -s 192.168.0.0/24  -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5560 -s 192.168.0.0/24  -j ACCEPT
#  enterprise manager
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 7777 -s 192.168.0.0/24  -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1158 -s 192.168.0.0/24  -j ACCEPT

# VNC
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5901 -s 192.168.0.0/24  -j ACCEPT

# smb:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 135 -s 192.168.0.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -s 192.168.0.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --dport 137:138 -s 192.168.0.0/24 -j ACCEPT
# Pupin-iptables, izbaciti posle testiranja
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -s 147.91.48.0/21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5500 -s 147.91.48.0/21  -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5560 -s 147.91.48.0/21  -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 7777 -s 147.91.48.0/21  -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1158 -s 147.91.48.0/21  -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5901 -s 147.91.48.0/21  -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 135 -s 147.91.48.0/21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -s 147.91.48.0/21 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --dport 137:138 -s 147.91.48.0/21 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 147.91.48.0/21  -j ACCEPT

# Pupin-iptables, kraj

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

 

[zeleni_zub]

Prvo napraviš bekap iptables fajla.


Recimo da je IP adresa tog računara 192.168.100.100.

Ubaciš ovu liniju odmah posle komentara # SSH Access # pupin:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 192.168.100.100/32 -j ACCEPT

Posle komentara #VNC ubaciš:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5901 -s 192.168.100.100/32  -j ACCEPT

Znači samo prepišeš ove već postojeće linije i izmeniš source IP adresu.

Posle toga uradiš:

iptables-restore < /etc/sysconfig/iptables

i proveriš sa "iptables -L -v -n" da li su se pravila primenila.


Samo polako i pažljivo (ne diraj ostale linije) i nećeš imati nikakvih problema.

Pre nego što uradiš iptables-restore snimi fajl, izađi iz editora, pa ga ponovo otvori i proveri da li je sve u redu.


edit: Samo da napomenem da je propuštanje paketa sa interneta na ove portove (22 i 5901) prilično veliki bezbednosni problem.

edit2: Takođe edituj post, ili neki mod neka to uradi, i maskiraj sve IP adrese.

 

[Stator]

Kod RHEL-a je preporuceno da posle editovanja iptables-a se samo uradi
service iptables restart