Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora - web / Nastavení iptables
- - Od Sova Dne 2014-06-23 17:36
Dobrý den,

chystám se upravit nastavení iptables. Zatím vycházím z toho, že Turris tým potřebuje uvolnit pouze tcp/443 a udp+tcp/53, případně navíc udp/123 na INPUT/OUTPUT. Stačí to? Pokud ne, co ještě? A na jaké stroje lze https omezit?

Díky!
Nadřazený - Od Štěpán Henek Dne 2014-07-02 10:28
Těch portů tam bude potřeba víc. Pokud by to bylo možné, nastavte si prosím celý rozsah IP adres 217.31.192.0/24 a 2001:1488:ac15:ff80::/112.
Ten čtyřkový by se časem neměl měnit vůbec u toho šestkového si nejsem zcela jist.

Ještě je nezbytné, aby správně fungoval unbound na routeru.
Tj. buď povolit odchozí provoz na port 53 nebo použít forwarder a povolit odchozí provoz na adresu forwarderu.
- - Od Sova Dne 2014-06-24 19:01
Přidám ještě dva související dotazy - zatím se mi zdá, že jsem asi něco nepochopil.

1) Logování "zajímavých" strojů, tedy konkrétních IP, je nastavené jako monitorování odchozího provozu. Má to být detekce botnetů, nebo ještě něco úplně jiného? Měl jsem totiž v úmyslu omezovat i odchozí provoz, resp. nastavit firewall tak, aby pouštěl jen to, co explicitně vyjmenuji. Monitorování odchozího provozu by to mohlo nabourat.

2) Zatím jsem intuitivně měl zato, že logovací prefix 'turris-xxxxx' je pro každý router jen jeden. V aktuální konfiguraci netfilteru vidím asi čtyři. Je to chyba, nebo vlastnost?
Nadřazený - - Od Štěpán Henek Dne 2014-07-02 08:36
Dobrý den,

1) V rámci detekce botnetů bychom chtěli monitorovat jen odchozí provoz, který se skutečně dostane ven.
V takovém případě vidíme, že uživatel má problém a můžeme jej zkontaktovat a upozornit, že se jeho počítače snaží připojit na IP botnetu.
Pokud si uživatel vytvoří vlastní pravidla, která ho odstřihnou od botnetu, tak je to jen dobře a my jej pak nemusíme obtěžovat.
Vadilo by, kdyby byla do fw umístěna pravidla, která by ty naše kontroly obcházela a odchozí pakety rovnou pouštěla.

2) turris-xxxxxx neznamená číslo routeru, ale typ pravidla. Např. 007E051X by měl být zeus(https://zeustracker.abuse.ch), 00CE670X jsou pravidla vydaná CSIRTem, atd.
Když posílá router pravidla na server, tak se prokazuje svým sériovým číslem a podle toho poznáme, o který router se jedná.
Nadřazený - Od Sova Dne 2014-07-02 09:09
Díky za reakci. Ještě k původnímu dotazu - co se týče komunikace mezi routerem a centrálou, stačí vám provoz na vyjmenovaných portech a dá se omezit na nějaké adresy, resp. adresní rozsah?

Seznam typů pravidel (tedy popis onoho turris-xxxxxx) by mě také zajímal, ale momentálně to není prioritní záležitost.

Ještě jednou děkuji!
Nahoru Téma Majitelé routerů / Technická podpora - web / Nastavení iptables

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill