Administrace komentářů

Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?

Rozjet firewall na každém zvlášť jistě je řešení, ale proč to, když už tam firewall pro všechny máte. Na to firewallu nastavíte provoz ven a na jednotlivé PC budete pouštět porty podle potřeby. Velice jednoduše pro IPv4, pro 6 se změní jen adresy a ip6tables:

iptables -P FORWARD DROP # výchozí politika, všechno zahodit
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # navázané pustíme
iptables -A FORWARD -i LAN -o INET -j ACCEPT # zevnitř ven pustíme
iptables -A FORWARD --proto icmp -j ACCEPT

Předchozí kód tam budete mít 100% již dnes (v různých modifikacích). Zbytek řešíte natem a port forwardem. To už nebudete potřebovat. Teď stačí pridávat pravidla pro stroje (identifikované svoji vlastní adresou) a porty:

iptables -A FORWARD -d 1.2.3.4 --proto tcp --dport 22 -j ACCEPT # SSH na server1
iptables -A FORWARD -d 2.3.4.5 --proto tcp --dport 80 -j ACCEPT # HTTPD na server2
iptables -A FORWARD -d 3.4.5.6 -j ACCEPT # stroj 3 má vlastní FW, pustíme vše.
iptables -A FORWARD -d 4.5.6.7 --proto tcp --dport 5900 -s 5.6.7.8 # na vnc stroje 4 pouze z firmy.

Je to velmi jednoduché, vše se řeší v chainu forward. Ochrana vlastního FW pak v INPUT, ale to je snad jasné.

PS: ukázka FW v tomto komentáři si neklade za cíl zabránit všem útokům, je vhodné jej doplnit o vhodné nastavení ICMP, anti spoofing a další bezpečnostní prvky.