sslug-teknik team mailing list archive

["Jeppe Koefoed" <jeppe@xxxxxxx>]

Hej Per
> DVS sige at jeg ikke behøver disse extra deklaritioner på disse.
Netop.

> > Hvorfor inkludere port numre i din nat? Du laver statisk 1-1 nat - så det 
> > bør være dine regler som enforcer adgang.
> Grunden til dette er - f.eks på min SSH - lader jeg det løbe igennem en 
> løkke - således at det er kun enkelte IP'er externt fra der i det hele 
> taget har adgang til min maskine - for alle andre er det et sted hvor der 
> ikke findes en SSH server.
Så lav en regel som dropper trafikken. Dine regler bliver ikke overskuelige 
hvis du benytter NAT til at filtrere.

> Grunden til jeg har valgt dette -var mere at jeg syntes det er irreterende 
> med alle de mennesker der konstant prøver at logge ind på en SSH port. Så 
> for ,min side syntes jeg dette var nemmere - og man slipper for extremt 
> mange logfiler omkring det der foregår.
Korrekt. Jeg har lavet et lille script som henter disse angreb fra logfilen 
og tilføjer afsender ip til en drop iptables regel. Så stopper disse forsøg 
hurtigt.
Jeg har også lavet en whitelist fra de ip som jeg selv ved jeg kommer fra, 
da man jo kan taste sit password forkert...

> Eftersom jeg forstår 1 til 1 NAT - så bliver ALT bare sendt videre til 
> maskinen ? Det var lidt det jeg ikke var interesseret i - Men om det er
Ja, men kun hvis der er en iptables filter regel som tillader det.

> mig der har en totalt forkert opfattelse af hvor det skal stoppees henne 
> eller om jeg laver tingene fuldstændigt forskruet - det må man da gerne 
> fortælle mig? Men derfor er det også at jeg har lagtr mit script således 
> at folk kan læse dette - og sige om det er sindssygt det jeg har lavet - 
> eller hamrende forkert - eller den rigtige måde!
Det er vel ikke forkert, men jeg tror at de fleste vil give mig ret i at 
overskuelighed er vigtigt når man skal undgå fejl. Og sikkerhed er vel bl.a. 
om at undgå fejl.
Normalt ville jeg kun benytte port-nat hvis der skal laves noget specielt - 
f.eks. havde min kammerat en router som nattede dns forkert. Og kun dns, da 
den forsøgte at være "intelligent". Så vi nattede til en anden port end 53 
så routeren ikke forstod dette som dns og kørte hans dns på port 10053 
istedet.
En anden grund kunne f.eks. være hvis man ikke har lov til at køre ssh ud 
igennem firmaet's firewall, men https er som altid tilladt (suk). Så kunne 
man lave port-nat så port 443 nattes til 22.

> Jeg har ikke på den her måde leget med Flere statiske IP'er så derfor 
> spørger jeg?
Men der er ikke så stor forskel på en eller flere IP'er. Bortset fra hvis du 
kommer fra kun at have én på din maskine til at have en på maskinen og nogle 
routet (hvilket jo er tilfældet). Måske derfor at du er blevet forvirret.

> > Virker din nye server udefra ?
> Nej
Så kig med tcpdump hvad der sker - slå evt. logning til med iptables.

> > Virker din nye server indefra - med den interne ip eller den eksterne ip 
> > ?
> Ja men kan kun pinge ud til f.eks google eller lign. Men sætter jeg en 
> maskine på internt fra - så kan jewg ikke bruge browsere mm - kan faktisk 
> kun pinge ud.

Jeg tænkte om du kunne nå din nye interne maskine (pluto?) fra en anden 
intern maskine (DMZ?) med den interne adresse(på pluto) i browseren fra DMZ.

> Jeg ved ikke om du har læstr de tidligere - men dui kan se hele mit script 
> på http://linux.pbj-design.dk/IPTABLES.TXT
Nej ;-)
Sjovt som andres scripts er "underlige" at se igennem - når man er vant til 
sit eget system.
Du kan se en ældre version af mit script her:
http://www.sslug.dk/sikkerhed/netfilter2.html
Der er ingen lan to pluto chain ? Jeg er faktisk begyndt blot at lave 
afsnittene i min forward chain istedet for dedikerede chains. Men det er jo 
en smagssag

> Men jeg er meget taknemmelig over du rent faktisk forklarer dig ret godt - 
> så jeg håber ikke at jeg spørger for dumt eller lign!
Det er fint - og tak. Men man skal jo også lige forstå hvad den anden 
misforstår...

/Jeppe