Už jsem se jednou zmínil, že jsem na svém serveru používal PKTFilter jako firewall, resp. „blokovač portů“.
Znova nastal čas kdy spouštím vlastní server a zároveň si na něm dělám sám správce. Všechny potřebné služby už mám rozjeté. Potom je třeba zablokovat všechny, které by neměly být zvenku přístupné.
Řeším to konbinací:
- správného nastavení služeb – resp. spuštění jen těch potřebných
- Blokováním portů pomocí PKT filter
- windows firewallu pomocí kterého ještě povolené porty povoluju jen určitým aplikacím a službám
Možná je to trošku paranoidní, ale na Internetu se opravdu všude válí spousta svinstva. Nedávno jsem někde četl že čerstvě nainstalované windowsy na veřejné IP s vypnutým firewallem a bez jakýchkoliv záplat jsou infikované prvním virem do 5ti minut od spuštění. A to se nebavíme o hackerech, ale jenom o tom co můžete chytit jen tak.
Pro nastavení správných služeb doporučuji využí služeb wizarda s názvem: „Security configuration wizard“ – projde veškeré služby a porty a nabídne vám seznam pro otevření a zavření portů, vypnutí služeb atd. Je nutno jej prvně doinstalovat z instalačky windows. Před jeho otevřením spusťte všechny aplikace, které naslouchají na síti. Tento nástroj vám i nastaví správná pravidla ve windows firewallu.
Pokud vám po ukončení tohoto wizarda přestaly fungovat některé služby které potřebujete, doporučuji se podívat do nastavení windows firewallu a případné chybějící porty doplnit.
No a posledním krokem bude spoštění PKT filter, který si můžete stáhnout ze stránek sourceforge.
Tento se konfiguruje textovám souborem. Pro ulehčení začátku přikládám svůj konfigurační soubor, ve kterém jsou nastaveny některé základní služby pro server. A samozřejmě i základní konfigurace portů pro klientské aplikace.
Poněkud nebezpečná se může zdát konfigurace FTP, kde jsou povoleny všechny příchozí connections na porty vyšší než 1023. To je také důvod proč mám spuštěn ještě Windows firewall. Ten zajistí aby toto připojení dosáhlo jen na FTP server. Pokud nechcete na windows firewall spoléhat, budete se muset spokojit pouze s Active módem pro server a pouze Passive módem, pokud na PC chcete provozovat i klienta.
Pokud myslíte, že tam mám chybu, nebo máte nějakou připomínku, napište prosím do diskuze pod článkem.
Konfigurace PKT Filter
# drop packets composed of small fragments
option small_frags on eth0
# default behavior = deny everything
block in on eth0 all
block out on eth0 all
#########################
## SERVERS
#########################
# allow inbound ICMP traffic (ping - incoming)
pass in on eth0 proto icmp from any to any icmp-type echo
pass out on eth0 proto icmp from any to any icmp-type echorep
# allow RDP (Terminal Services) administration from our administration subnet (incoming)
pass in on eth0 proto tcp from any port > 1024 to any port = 3389
pass out on eth0 proto tcp from any port = 3389 to any port > 1024 established
# http server (incoming)
pass in on eth0 proto tcp from any port > 1023 to any port = 80
pass out on eth0 proto tcp from any port = 80 to any port > 1023 established
# https server (incoming)
# pass in on eth0 proto tcp from any port > 1023 to any port = 443
# pass out on eth0 proto tcp from any port = 443 to any port > 1023 established
# FTP server commands (incoming)
pass in on eth0 proto tcp from any port > 1023 to any port = 21
pass out on eth0 proto tcp from any port = 21 to any port > 1023 established
# FTP server Data Passive (incoming)
pass in on eth0 proto tcp from any port > 1023 to any port > 1023
pass out on eth0 proto tcp from any port > 1023 to any port > 1023 established
# FTP Server Data Active (incoming)
pass out on eth0 proto tcp from any port = 20 to any port > 1023
pass in on eth0 proto tcp from any port > 1023 to any port = 20 established
######################
## CLIENTS
######################
# DNS resolution (outgoing)
pass out on eth0 proto udp from any port > 1023 to any port = 53
pass in on eth0 proto udp from any port = 53 to any port > 1023 established
# FTP commands (outgoing)
pass out on eth0 proto tcp from any port > 1023 to any port = 21
pass in on eth0 proto tcp from any port = 21 to any port > 1023 established
# FTP passive data (outgoing)
pass out on eth0 proto tcp from any port > 1023 to any port > 1023
pass in on eth0 proto tcp from any port > 1023 to any port > 1023 established
# FTP active data (outgoing)
pass in on eth0 proto tcp from any port = 20 to any port > 1023
pass out on eth0 proto tcp from any port > 1023 to any port = 20 established
# allow browsing from this computer (outgoing)
pass out on eth0 proto tcp from any port > 1023 to any port = 80
pass in on eth0 proto tcp from any port = 80 to any port > 1023 established
pass out on eth0 proto tcp from any port > 1023 to any port = 443
pass in on eth0 proto tcp from any port = 443 to any port > 1023 established
# allow outgoing Smtp Pop3 (outgoing)
pass out on eth0 proto tcp from any port > 1023 to any port = 25
pass in on eth0 proto tcp from any port = 110 to any port > 1023 established
pass out on eth0 proto tcp from any port > 1023 to any port = 110
pass in on eth0 proto tcp from any port = 110 to any port > 1023 established
Napiš první komentář! ↓
Zatím tu není žádný komentář... Odstartuj to vyplněním formuláře níže.