Estou tentando definir as regras do iptables em meu servidor para usá-lo como o Firewall baseado no Ubuntu 16.04. Eu tenho conhecimento justo no Ubuntu. Eu fiz alguma pesquisa no site de ajuda do Ubuntu e no Askubuntu. Eu criei as seguintes regras que podem ser salvas em um arquivo e executadas como root (arquivo sudo sh):
%pre%Minhas perguntas são:
Eu tenho a seguinte topologia de rede:
Internet & gt; & gt; & gt; & gt; & gt; [WAN & lt; & lt; & gt; & gt; & gt; SERVIDOR & lt; & lt; & gt; & gt; LAN] & lt; & lt; & lt; & lt; & lt; Usuários locais
No meu servidor, quero bloquear todo o tráfego de entrada na WAN (incluindo pings e outras solicitações de descoberta e / ou invasão), mas permitir que o tráfego da Internet passe pelo SERVER e pelos usuários locais na LAN. O código acima está OK com essas regras?
Eu tenho alguns serviços no meu SERVER (como MYSQL e SSH) que eu gerencio diretamente do próprio SERVER, eu quero bloquear usuários locais na LAN e Internet na WAN de acessar ou se conectar a serviços e tudo no meu SERVIDOR. O código acima está OK com essa regra?
Há alguma anotação ou falha de segurança que possa ser usada pelas regras acima?
É seguro abrir a porta SSH para a Internet na WAN se eu usar a seguinte regra? (Nota: estarei usando apenas a autenticação de chave pública ssh, sem senhas em texto puro.)
%pre%Muito obrigado pessoal.
Estou tentando definir as regras do iptables em meu servidor para usá-lo como o Firewall baseado no Ubuntu 16.04. Eu tenho conhecimento justo no Ubuntu. Eu fiz alguma pesquisa no site de ajuda do Ubuntu e no Askubuntu. Eu criei as seguintes regras que podem ser salvas em um arquivo e executadas como root (arquivo sudo sh):
#!/bin/bash
WAN_IF="enp2s0"
WAN_IP=$(/sbin/ip addr show dev "$WAN_IF" | perl -lne 'if(/inet (\S+)/){print;last}');
LAN_IF="enp4s9"
LAN_IP=$(/sbin/ip addr show dev "$LAN_IF" | perl -lne 'if(/inet (\S+)/){print;last}');
##### Internal network address (in CIDR notation)
LAN_NET="192.168.17.0/24"
echo
echo "[WAN Interface: $WAN_IF] [WAN IP: $WAN_IP]"
echo "[LAN Interface: $LAN_IF] [LAN IP: $LAN_IP] [Network: $LAN_NET]"
echo
echo -n "Enabling IP Forwarding...\n"
##### Enabling IP Forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
echo
echo -n "Loading Firewall Rules...\n"
echo -n "Enabling NAT Rewriting on IN/OUT Packets...\n"
/sbin/iptables-restore <<-EOF;
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
##### INPUT RULES
-A INPUT -i lo -j ACCEPT
-A INPUT -i $LAN_IF -j ACCEPT
-A INPUT -i $WAN_IF -s $LAN_NET -j DROP
-A INPUT -i $WAN_IF -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
##### FORWARD RULES
-A FORWARD -i $LAN_IF -o $WAN_IF -j ACCEPT
-A FORWARD -i $WAN_IF -o $LAN_IF -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
##### OUTPUT RULES
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o $WAN_IF -d $LAN_NET -j DROP
-A OUTPUT -o $LAN_IF -s $LAN_IP -d $LAN_NET -j ACCEPT
-A OUTPUT -o $WAN_IF -s $WAN_IP -j ACCEPT
##### All Other Requests are DROPPED
-A OUTPUT -j DROP
-A INPUT -j DROP
COMMIT
##### NAT Rewriting on IN/OUT Packets
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o $WAN_IF -j MASQUERADE
COMMIT
EOF
echo -n "Bloacking IP6...\n"
/sbin/ip6tables-restore <<-EOF;
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
EOF
echo
echo "Done!"
echo
Minhas perguntas são:
Eu tenho a seguinte topologia de rede:
Internet & gt; & gt; & gt; & gt; & gt; [WAN & lt; & lt; & gt; & gt; & gt; SERVIDOR & lt; & lt; & gt; & gt; LAN] & lt; & lt; & lt; & lt; & lt; Usuários locais
No meu servidor, quero bloquear todo o tráfego de entrada na WAN (incluindo pings e outras solicitações de descoberta e / ou invasão), mas permitir que o tráfego da Internet passe pelo SERVER e pelos usuários locais na LAN. O código acima está OK com essas regras?
Eu tenho alguns serviços no meu SERVER (como MYSQL e SSH) que eu gerencio diretamente do próprio SERVER, eu quero bloquear usuários locais na LAN e Internet na WAN de acessar ou se conectar a serviços e tudo no meu SERVIDOR. O código acima está OK com essa regra?
Há alguma anotação ou falha de segurança que possa ser usada pelas regras acima?
É seguro abrir a porta SSH para a Internet na WAN se eu usar a seguinte regra? (Nota: estarei usando apenas a autenticação de chave pública ssh, sem senhas em texto puro.)
-A INPUT -i $WAN_IF -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp -d $WAN_IP --dport 22 -j ACCEPT
Muito obrigado pessoal.
Agradeço quaisquer sugestões que você possa me dar. Estou substituindo um laptop com Windows XP de 2008 por uma nova máquina Ubuntu.
Estou com problemas para imprimir de uma Samsung ML-2165W. (A impressora funciona normalmente em uma máquina com Windows XP [que está sendo substituída. Parece que eu instalei a impressora com sucesso. Estou usando o driver de impressora oficial da Samsung para Linux, V1.00.36_00.91.
Eu estava executando inicialmente o Ubuntu 16.10, release 16.10, codinome yakkety.
UPDATE: Como sugerido, atualizei para o Ubuntu 17.04. Após a reinicialização, fui até system-config-printer , removi a impressora, adicionei-a novamente e tentei imprimir uma página de teste do CUPS. O trabalho de impressão é exibido na fila de impressão e a luz verde de "conexão" da impressora começa a piscar, mas não é impressa.
Após aproximadamente 10 minutos, a própria impressora imprimiu uma leitura de página:
SPL ERROR - Sessão Incompleta por tempo limite
POSIÇÃO: 0X94B (2379)
SISTEMA: h6fw_5.57 / os_hook
LINHA: 1425
VERSÃO: SPL 5.57 01-12-2012
(fim da atualização)
A impressora possui recursos de WiFi, mas eu estou conectado a ela usando o cabo USB padrão. Eu adicionei a impressora no programa "Impressoras". Ele é identificado como "Samsung-ML-2160 Series. Quando entro em Propriedades e imprimo página de teste, o trabalho é adicionado à fila de impressão como processamento, mas a impressora não responde.
O LED verde pisca, mas a impressora não imprime nada. Se eu pressionar o botão "Power / Continue" na impressora, ocasionalmente ele gasta uma leitura de página:
SPL ERROR - Sessão Incompleta por tempo limite
POSIÇÃO: 0X1b9 (441)
SISTEMA: h6fw_5.57 / os_hook
LINHA: 1425
VERSÃO: SPL 5.57 01-12-2012
(acho que esta é a impressora em si, e não o sistema operacional.)
Eu tentei remover tudo e fazer o download novamente (de acordo com este e outros tutoriais), mas sem sucesso.
Eu também instalei e imprimi bem a partir da impressora (mesmo usando Wi-Fi) em uma máquina com Windows XP, bem como com um smartphone Samsung, para saber que a impressora está funcionando corretamente.
Qualquer ajuda seria muito apreciada.