Repository 32bit  Forum
Repository 64bit  Wiki

iptables apt-get cntlm against isaproxy :)

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

iptables apt-get cntlm against isaproxy :)

Messaggioda kllm » lun feb 15, 2010 11:29

Intanto
ciao a tutti ,
sono tendenzialmente abituato ad arrangiarmi , ma in questi giorni ho un problema che non riesco a risolvere da solo , quindi eccomi qui :)

ho installato in ufficio una piccola wiky che per ragioni di sicurezza sara' consultabile solamente da alcuni utenti , configurati i wrapper ho configurato anche iptables per far accedere solo alcuni ip su 80 e 22 (si alcuni devono anche avere una shell) . pero' poter aggiornare la macchina (il penultimo hop prima di uscire e' isaproxy) ho installato cnltm e configurato apt-get (si e' una debian :) ) per usarlo , con iptables spento tutto bene apt aggiorna senza problemi dopo essersi autenticato su isa ma quando rimetto su le chain apt-get non riesce piu' a effettaure gli aggiornamenti

essendo tutte le policy INPUT OUTPUT e FORWARD in drop , ho specificato minuziosamente gli ip che si possono connettere e le relative porte , gli host in rete si connettono senza problemi .
ho abilitato il traffico sulla loopback per il localhost chiaramente infatti quando faccio un telnet sulla porta 3128 dalla stessa machina , cntlm risponde , penso quindi che il problema sia nel raggiungere isa sulla 8080 a questo punto

apt-get si fa proxare da cntlm sulla 3128 del localhost , ma poi lo stesso cntlm non arriva a isa
immagino che il problema sia che tutto il traffico in output e' bloccato e che quindi cnltm non riesce ad arrivare a isa proprio a causa di questo ,

ho pensato quindi di scrivere due regole per permettere il traffico in output di tutte le porte sotto la 1024 , ma con una destination port e un ip specifici , ma sembra non funzionare , idee ?

Codice: Seleziona tutto
 SYSCTLW="/sbin/sysctl -q -w"
$SYSCTLW net.ipv4.conf.all.log_martians=1
$SYSCTLW net.ipv4.conf.all.send_redirects=0
$SYSCTLW net.ipv4.conf.all.accept_source_route=0
$SYSCTLW net.ipv4.conf.all.accept_redirects=0
$SYSCTLW net.ipv4.tcp_syncookies=1
$SYSCTLW net.ipv4.icmp_echo_ignore_broadcasts=1
$SYSCTLW net.ipv4.ip_forward=0
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
# Abilito i ping alla macchina
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Imposto regole generiche sulle connessioni in ingresso
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Abilito i ping in uscita
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
# Tutti gli altri pacchetti (reject+reset)
###
iptables -A INPUT -i lo  -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo  -d 127.0.0.1 -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.113.40 -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.113.40 -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.113.40 -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.113.40 -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.113.128 -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.113.128 -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.113.128 -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.113.128 -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.113.54  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.113.54  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.113.54  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.113.54  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.113.191  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.113.191  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.113.191  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.113.191  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.113.192  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.113.192  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.113.192  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.113.192  -j ACCEPT
#webmin gabriele  andrea
iptables -A  INPUT -m state -p tcp --dport 10000 ! --state INVALID -s 10.41.113.192  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 10000 --state ESTABLISHED,RELATED -d 10.41.113.192 -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 10000 ! --state INVALID -s 10.41.9.238  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 10000 --state ESTABLISHED,RELATED -d 10.41.9.238 -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.113.39  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.113.39  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.113.39  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.113.39  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.9.238   -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.9.238   -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.9.238   -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.9.238   -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.9.165  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.9.165  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.9.165  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.9.165  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.8.106  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.8.106  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.8.106  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.8.106  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.8.120  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.8.120  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.8.120  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.8.120  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.8.60    -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.8.60    -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.8.60    -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.8.60    -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.8.104  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.8.104  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.8.104  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.8.104  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.9.238  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.9.238  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.9.238  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.9.238  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.8.135  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.8.135  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.8.135  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.8.135  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.113.126  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.113.126  -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.113.126  -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.113.126  -j ACCEPT
#
iptables -A  INPUT -m state -p tcp --dport 22 ! --state INVALID -s 10.41.113.35 -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 22 --state ESTABLISHED,RELATED -d 10.41.113.35 -j ACCEPT
iptables -A  INPUT -m state -p tcp --dport 80 ! --state INVALID -s 10.41.113.35 -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 80 --state ESTABLISHED,RELATED -d 10.41.113.35 -j ACCEPT


ed ecco la parte che mi disturba assai :)


Codice: Seleziona tutto
iptables -A INPUT -m state -p tcp  --dport 1024:65535 --state ESTABLISHED,RELATED -s ip_proxy --sport 1024:65535   -j ACCEPT
iptables -A OUTPUT -m state -p tcp --sport 1024:65535 --state ESTABLISHED,RELATED -d ip_proxy --dport 8080  -j ACCEPT


grazie dell'attenzione , spero di essere stato chiaro e non prolisso (nel caso chiedo venia :))

Andrea
Ultima modifica di conraid il lun feb 15, 2010 11:38, modificato 1 volta in totale.
Motivazione: usa il tag code per le parti di codice la prossima volta
kllm
Linux 1.0
Linux 1.0
 
Messaggi: 17
Iscritto il: lun gen 24, 2005 0:00

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron