SANDRO DÄHLER, DANIEL WALTHER I3T FIREWALL LAB

Transkript

1 SANDRO DÄHLER, DANIEL WALTHER I3T FIREWALL LAB

2 FIREWALL LAB INHALTSVERZEICHNIS Inhaltsverzeichnis...2 Ausgangslage...3 Policy...4 ICMP...4 TCP und UDP...4 firewall.sh...5 Chain Policies...5 Offensichtlich ungültige IP Adressen...5 Network Address Translation...5 ICMP...6 TCP und UDP...6 Internet -> DMZ...6 Internes Netz -> DMZ...7 Internes Netz -> Internet...7 Zugriff auf die Firewall...8 Test...9 Masquerading...10 FTP...10 Schlussfolgerung...12 Firewall Script...13 DANIEL WALTHER, SANDRO DÄHLER 2 FIREWALL LAB

3 AUSGANGSLAGE Die Ausgangslage wurde uns von Herr Meyer in einem 4-seitigen Dokument vorgegeben. Hier nun eine kurze Zusammenfassung dieses Dokumentes. Wir erhielten 3 Rechner im Labor zugeteilt. Auf allen Rechnern ist ein Debian Linux installiert. Ein interner Host, einer in der DMZ und die Firewall. Die Firewall ist mit 3 Netzwerkschnittstellen ausgerüstet und verbindet das Internet, die DMZ und das Interne Netzwerk untereinander. Das interne Netzwerk läuft mit privaten IP-Adressen, die DMZ mit öffentlichen. Die Aufgabe war nun, die DMZ und das interne Netz von Zugriffen aus dem Internet zu schützen und den Zugriff auf das Internet von der DMZ und dem internen Bereich zu reglementieren. Um dies zu bewerkstelligen, werden auf der Firewall mit Hilfe von IPTABLES Regeln definiert. Auf dieser Zeichnung sieht man die Anordnung der Rechner, so wie es im Labor aufgebaut worden ist. DANIEL WALTHER, SANDRO DÄHLER 3 FIREWALL LAB

4 POLICY Eine Policy wurde nicht vorgegeben, sondern musste vorher selbst erstellt werden. Als Grundsatz galt: Zuerst alles verbieten, und dann nur das erlauben, was unbedingt nötig ist. ICMP Wir haben uns entschieden, ICMP Pakete der folgenden Typen in allen möglichen Richtungen passieren zu lassen: 0, 8, 3, 4, 11, 12. Das interne Netzwerk kann aufgrund der Privaten IP-Adressen von aussen natürlich nicht erreicht werden. Es kann verschiedentlich von Nutzen sein, PING s und ähnliche ICMP Dienste zur Verfügung zu haben, vor allem zur Analyse bei Neztwerkproblemen. Allerdings können ICMP Pakete auch für Missbräuche verwendet werden, z.b. Denial of Service Angriffe. Eine Aufhebung des Rechts, von aussen der Firewall oder den Servern in der DMZ ICMP Pakete zu senden, könnte daher ins Auge gefasst werden. TCP UND UDP Der Zugriff vom Internet auf die Hosts im DMZ ist nur beschränkt möglich, d.h. es sind nur Ports von Services offen, die die Server auch gegen aussen anbieten. In der DMZ sollen folgende TCP-Dienste angeboten werden: Web (HTTP, HTTPS), (POP, IMAP, SMTP), FTP (aktiv) sowie der UDP- Dienst DNS. Dieselben Regeln gelten für den Zugriff vom Internen Netzwerk auf die DMZ. Von hier sind zusätzlich auch SSH Verbindungen möglich. Zu beachten gilt, dass die Antworten auf die Anfragen natürlich durchgelassen werden müssen. Die hohen Portadressen ( ) werden für TCP und UDP Pakete geöffnet. Den Hosts des Internen Netzes wird der Zugriff auf das Internet auf allen Ports gewährt. Die internen Rechner können durch das Masquerading nicht erreicht werden. Es wird kein Port-Forwarding verwendet. DANIEL WALTHER, SANDRO DÄHLER 4 FIREWALL LAB

5 FIREWALL.SH CHAIN POLICIES Wie vorher beschrieben, werden zuerst alle Pakete in den INPUT, OUTPUT und FORWARD chains blockiert. $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP OFFENSICHTLICH UNGÜLTIGE IP ADRESSEN Pakete, welche eine offensichtlich ungültige Source IP Adresse aufweisen, werden blockiert. Folgende Adressen Bereiche werden für die aus dem Internet stammenden IP Pakete für ungültig erklärt. Dies gilt für alle Pakete (INPUT und FORWARD chain). $IPTABLES -A INPUT -i $INET_IFACE -s $DMZ_NET_ADDR -j DROP $IPTABLES -A FORWARD -i $INET_IFACE -s $DMZ_NET_ADDR -j DROP private Adressen $IPTABLES -A INPUT -i $INET_IFACE -s /16 -j DROP $IPTABLES -A INPUT -i $INET_IFACE -s /8 -j DROP $IPTABLES -A FORWARD -i $INET_IFACE -s /16 -j DROP $IPTABLES -A FORWARD -i $INET_IFACE -s /8 -j DROP loopback Adressen $IPTABLES -A INPUT -i $INET_IFACE -s /8 -j DROP $IPTABLES -A FORWARD -i $INET_IFACE -s /8 -j DROP NETWORK ADDRESS TRANSLATION Da das Interne Netzwerk über Private IP Adressen verfügt, muss die Firewall ein Network Address Translation durchführen, bevor sie die Pakete dem Internet zukommen lässt. Um dies zu bewerkstelligen wird IP Masquerading verwendet. $IPTABLES -A POSTROUTING -t nat -o $INET_IFACE -s $LAN_NET_ADDR -j MASQUERADE DANIEL WALTHER, SANDRO DÄHLER 5 FIREWALL LAB

6 ICMP Damit das Forwarding der ICMP Pakete gewährleistet wird, haben wir folgendes gemacht: PING forwarding $IPTABLES -A FORWARD -p icmp --icmp-type 0 -j $IPTABLES -A FORWARD -p icmp --icmp-type 8 -j other ICMP $IPTABLES -A FORWARD -p icmp --icmp-type 3 -j $IPTABLES -A FORWARD -p icmp --icmp-type 4 -j $IPTABLES -A FORWARD -p icmp --icmp-type 11 -j $IPTABLES -A FORWARD -p icmp --icmp-type 12 -j Von und zu der Firewall werden dieselben Pakete ebenfalls akzeptiert. PING from firewall $IPTABLES -A INPUT -p icmp --icmp-type 0 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 8 -j PING to firewall $IPTABLES -A INPUT -p icmp --icmp-type 8 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 0 -j other ICMP $IPTABLES -A INPUT -p icmp --icmp-type 3 -j $IPTABLES -A INPUT -p icmp --icmp-type 4 -j $IPTABLES -A INPUT -p icmp --icmp-type 11 -j $IPTABLES -A INPUT -p icmp --icmp-type 12 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 3 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 4 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 11 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 12 -j TCP UND UDP INTERNET -> DMZ Es werden nur die Ports geöffnet, die benötigt werden um die erforderlichen Services zur Verfügung zu stellen. Der Rückweg wird für sämtliche Pakete mit hohen Port Absender Adressen ( ) geöffnet. Dabei gilt es zu beachten, das auch SYN Pakete geroutet werden, um aktive FTP Verbindungen zu ermöglichen. $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 80 -j $IPTABLES -A FORWARD -p udp -i $INET_IFACE -o $DMZ_IFACE --dport 53 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 25 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 110 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 20 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 21 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 143 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 443 -j DANIEL WALTHER, SANDRO DÄHLER 6 FIREWALL LAB

7 $IPTABLES -A FORWARD -p tcp -i $DMZ_IFACE -o $INET_IFACE --dport 1024: j $IPTABLES -A FORWARD -p udp -i $DMZ_IFACE -o $INET_IFACE --dport 1024: j INTERNES NETZ -> DMZ Hier wurde ähnlich wie oben verfahren, zusätzlich wird noch der Port 22 für SSH Verbindungen geöffnet, da die Server auch vom Internen Netzwerk aus administrierbar sind. $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 80 -j $IPTABLES -A FORWARD -p udp -i $LAN_IFACE -o $DMZ_IFACE --dport 53 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 25 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 110 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 20 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 21 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 143 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 443 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 22 -j $IPTABLES -A FORWARD -p tcp -i $DMZ_IFACE -o $LAN_IFACE --dport 1024: j $IPTABLES -A FORWARD -p udp -i $DMZ_IFACE -o $LAN_IFACE --dport 1024: j INTERNES NETZ -> INTERNET Vom internen Netzwerk aus sind Verbindungen zu allen Ports auf Servern im Internet möglich. Auf dem Rückwerg werden nur Verbindungen zu hohen Portnummern ( ) akzeptiert. intranet to internet $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $INET_IFACE -j $IPTABLES -A FORWARD -p udp -i $LAN_IFACE -o $INET_IFACE -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $LAN_IFACE --dport 1024: j $IPTABLES -A FORWARD -p udp -i $INET_IFACE -o $LAN_IFACE --dport 1024: j DANIEL WALTHER, SANDRO DÄHLER 7 FIREWALL LAB

8 ZUGRIFF AUF DIE FIREWALL Die Firewall wird so gut wie möglich geschützt. Sie ist unsere Schnittstelle zum Internet und von aussen sichtbar. Um diesen Schutz zu gewährleisten, ist es nur möglich SSH Verbindungen zur Administration und DNS Abfragen auf den internen DNS Server vom internen Netzwerk abzusetzen. packets able to get into the firewall $IPTABLES -A INPUT -p tcp -i $LAN_IFACE --dport 22 -j $IPTABLES -A INPUT -p udp -i $LAN_IFACE --dport 53 -j $IPTABLES -A INPUT -p udp -o $INET_IFACE --dport 1024: j Zusätzlich ist es der Firewall erlaubt, weitergehende DNS Abfragen an Server im Internet zu senden. $IPTABLES -A OUTPUT -p udp -o $INET_IFACE --dport 53 -j $IPTABLES -A OUTPUT -p tcp -o $LAN_IFACE --dport 1024: j $IPTABLES -A OUTPUT -p udp -o $LAN_IFACE --dport 1024: j Für das Loopback Interface wurden keine Regeln definiert, da die generelle Policy DROP ist, werden alle Pakete blockiert. DANIEL WALTHER, SANDRO DÄHLER 8 FIREWALL LAB

9 TEST Um die Funktionalität der Firewall zu testen, haben wir die verschiedenen Verbindungen getestet. Zuerst haben wir in alle Richtungen die ICMP Services mit Hilfe von PING und Traceroute getestet. Um die DMZ Dienste zu testen, haben wir auf dem DMZ Host, den Echoserver (TECHOSV) auf den entsprechenden Ports laufen lassen. Des weiteren wurde ein Echoserver auf den Ports 23 und 7000 gestartet, um zu testen ob diese korrekt blockiert werden. nach von Firewall DMZ Intern Internet Firewall Allow : DNS:53 DMZ Allow : SSH: 22 Intern Allow : SSH: 22 DNS: 53 Internet Allow : SSH: 22 Allow : Web: 80 SSL: 443 DNS: 53 SMTP: 25 POP3: 110 IMAP: 143 FTP: 21 SSH: 22 Telnet:23 Unknown:7000 Allow : Web:80 SSL: 443 DNS: 53 SMTP: 25 POP3: 110 IMAP: 143 FTP: 21 Telnet:23 Unknown:7000 Allow : SSH: 22 Allow : SSH: 22 Not possible due to internal IPs Allow : DNS: 53 SSH: 22 Allow : Web: 80 SSL: 443 Allow: Web: 80 SSL: 443 DNS: 53 SMTP: 25 POP3: 110 IMAP: 143 FTP: 21 SSH: 22 DANIEL WALTHER, SANDRO DÄHLER 9 FIREWALL LAB

10 MASQUERADING Um das Masquerading zu testen, haben wir ein Paket (HTTP Request) mit Hilfe von TCPDUMP vom Internen Netzwerk bis ins Internet verfolgt. Dazu haben wir dasselbe Paket sowohl auf dem internen Rechner, wie auch auf der Firewall betrachtet. Das Paket auf dem internen Rechner: 13:08: > santorini.switch.ch.www: S : (0) win 5840 <mss 1460,sackOK,timestamp ,nop,wscale 0> (DF) Das Packet, das auf der Firewall versendet wurde: 13:08: fribourg.netlab.hta-bi.bfh.ch > santorini.switch.ch.www: S : (0) win 5840 <mss 1460,sackOK,timestamp ,nop,wscale 0> (DF) FTP Um die FTP Verbindungen zu testen, haben wir vom internen Host ein Verbindung auf erstellt: Interner Host: Firewall: 13:09: > domain: A? (31) (DF) 13:09: domain > : /2/2 A gic-web-lin-04.genotec.ch (125) (DF) 13:10: > gic-web-lin-04.genotec.ch.ftp: S : (0) win 5840 <mss 1460,sackOK,timestamp ,nop,wscale 0> (DF) 13:10: gic-web-lin-04.genotec.ch.ftp > : S : (0) ack win 5792 <mss 1460,sackOK,timestamp ,nop,wscale 0> (DF) 13:10: > gic-web-lin-04.genotec.ch.ftp:. ack 1 win 5840 <nop,nop,timestamp > (DF) 13:10: gic-web-lin-04.genotec.ch.ftp > : P 1:23(22) ack 1 win 5792 <nop,nop,timestamp > (DF) 13:09: fribourg.netlab.hta-bi.bfh.ch > chur.netlab.htabi.bfh.ch.domain: A? (31) (DF) 13:09: chur.netlab.hta-bi.bfh.ch.domain > fribourg.netlab.htabi.bfh.ch.32768: /2/2 A gic-web-lin-04.genotec.ch (125) 13:09: fribourg.netlab.hta-bi.bfh.ch > chur.netlab.htabi.bfh.ch.domain: PTR? in-addr.arpa. (45) (DF) DANIEL WALTHER, SANDRO DÄHLER 10 FIREWALL LAB

11 13:09: fribourg.netlab.hta-bi.bfh.ch > chur.netlab.htabi.bfh.ch.domain: PTR? in-addr.arpa. (45) (DF) 13:09: chur.netlab.hta-bi.bfh.ch.domain > fribourg.netlab.htabi.bfh.ch.32812: 16467* 1/2/0 (120) 13:09: chur.netlab.hta-bi.bfh.ch.domain > fribourg.netlab.htabi.bfh.ch.32813: 19665* 1/2/0 (120) 13:10: fribourg.netlab.hta-bi.bfh.ch > gic-web-lin- 04.genotec.ch.ftp: S : (0) win 5840 <mss 1460,sackOK,timestamp ,nop,wscale 0> (DF) 13:10: gic-web-lin-04.genotec.ch.ftp > fribourg.netlab.htabi.bfh.ch.32813: S : (0) ack win 5792 <mss 1460,sackOK,timestamp ,nop,wscale 0> (DF) 13:10: fribourg.netlab.hta-bi.bfh.ch > gic-web-lin- 04.genotec.ch.ftp:. ack 1 win 5840 <nop,nop,timestamp > (DF) 13:10: gic-web-lin-04.genotec.ch.ftp > fribourg.netlab.htabi.bfh.ch.32813: P 1:23(22) ack 1 win 5792 <nop,nop,timestamp > (DF) Leider konnten wir unsere Testergebnisse nicht besser darstellen, da auf all unseren Rechnern der Ethereal nicht gestartet werden konnte. DANIEL WALTHER, SANDRO DÄHLER 11 FIREWALL LAB

12 SCHLUSSFOLGERUNG Die Aufgabenstellung war sinnvoll und die Umsetzung interessant, allerdings konnten wir in der kurzen, uns zur Verfügung stehenden Zeit, nicht alle Möglichkeiten die sich uns aufzeigten ausprobieren. Der erhaltene Einblick in IPTABLES ist bietet gute Grundlage um diese Technologie nach vertieftem Studium produktiv einsetzen zu können. Aufgrund der kurzen Zeit konnten wir auch nicht alle Möglichkeiten ausnutzen die sie mit IPTABLES bieten würden. Folgende Punkte könnte man noch verbessern: In einem Produktiven Umfeld, genau untersuchen, welche Dienste benötigt werden und die nicht benötigten sperren. Dies würde aber mehr Zeit erfordern. Hier noch einige Punkt, die man verbessern könnte: - Die ICMP-Policy ist zurzeit sehr offen gehandhabt, hier könnte man durchaus restriktivere Massnahmen ins Auge fassen. - Es wäre sinnvoll eingehende SYN-Pakete an interne Clients zu unterbinden, da man so evtl. vorhandene Trojaner blockieren könnte. - Sowohl für ICMP und die SYN-Pakte könnte das STATE-Modul helfen. - Um Angriffsversuche frühzeitig entdecken zu können und um ein Audit des Netzwerks zu ermöglichen, wäre es gegebenenfalls sinnvoll einige Pakete nicht nur zu verwerfen, sondern deren Auftreten auch zu loggen( Zum Beispiel im NETWACS). DANIEL WALTHER, SANDRO DÄHLER 12 FIREWALL LAB

13 FIREWALL SCRIPT!/bin/bash rc.dmz.firewall - DMZ IP Firewall script for Linux 2.4.x and iptables Copyright (C) 2001 Oskar Andreasson <blueflux@koffein.net> This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; version 2 of the License. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program or from the site that you downloaded it from; if not, write to the Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA USA Configuration options, these will speed you up getting this script to work with your own setup. your LAN's IP range and localhost IP. /24 means to only use the first 24 bits of the 32 bit IP adress. the same as netmask STATIC_IP is used by me to allow myself to do anything to myself, might be a security risc but sometimes I want this. If you don't have a static IP, I suggest not using this option at all for now but it's stil enabled per default and will add some really nifty security bugs for all those who skips reading the documentation=) INET_IP=" " INET_IFACE="eth0" DMZ_IP=" " DMZ_IFACE="eth1" DMZ_NET_ADDR=" /24" LAN_IP=" " LAN_BCAST_ADRESS=" " LAN_IFACE="eth2" LAN_NET_ADDR=" /24" IPTABLES="/sbin/iptables" Load all required IPTables modules Needed to initially load modules /sbin/depmod -a DANIEL WALTHER, SANDRO DÄHLER 13 FIREWALL LAB

14 Adds some iptables targets like LOG, REJECT and MASQUARADE. /sbin/modprobe ipt_log /sbin/modprobe ipt_masquerade Support for connection tracking of FTP and IRC. /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc CRITICAL: Enable IP forwarding since it is disabled by default. echo "1" > /proc/sys/net/ipv4/ip_forward Dynamic IP users: echo "1" > /proc/sys/net/ipv4/ip_dynaddr Chain Policies gets set up before any bad packets gets through $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP Clear all chain rules $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -F -t nat ICMP Rules, used in the FORWARD chain echo "ICMP rules" PING forwarding $IPTABLES -A FORWARD -p icmp --icmp-type 0 -j $IPTABLES -A FORWARD -p icmp --icmp-type 8 -j other ICMP $IPTABLES -A FORWARD -p icmp --icmp-type 3 -j $IPTABLES -A FORWARD -p icmp --icmp-type 4 -j $IPTABLES -A FORWARD -p icmp --icmp-type 11 -j $IPTABLES -A FORWARD -p icmp --icmp-type 12 -j PING from firewall $IPTABLES -A INPUT -p icmp --icmp-type 0 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 8 -j PING to firewall $IPTABLES -A INPUT -p icmp --icmp-type 8 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 0 -j other ICMP $IPTABLES -A INPUT -p icmp --icmp-type 3 -j $IPTABLES -A INPUT -p icmp --icmp-type 4 -j $IPTABLES -A INPUT -p icmp --icmp-type 11 -j $IPTABLES -A INPUT -p icmp --icmp-type 12 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 3 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 4 -j DANIEL WALTHER, SANDRO DÄHLER 14 FIREWALL LAB

15 $IPTABLES -A OUTPUT -p icmp --icmp-type 11 -j $IPTABLES -A OUTPUT -p icmp --icmp-type 12 -j Check obviously ip adresses echo "Obviously ip adresses" $IPTABLES -A INPUT -i $INET_IFACE -s $DMZ_NET_ADDR -j DROP $IPTABLES -A INPUT -i $INET_IFACE -s /16 -j DROP $IPTABLES -A INPUT -i $INET_IFACE -s /8 -j DROP $IPTABLES -A INPUT -i $INET_IFACE -s /8 -j DROP $IPTABLES -A FORWARD -i $INET_IFACE -s $DMZ_NET_ADDR -j DROP $IPTABLES -A FORWARD -i $INET_IFACE -s /16 -j DROP $IPTABLES -A FORWARD -i $INET_IFACE -s /8 -j DROP $IPTABLES -A FORWARD -i $INET_IFACE -s /8 -j DROP POSTROUTING chain in the nat table Enable IP masquerading, intranet -> internet echo "nat and POSTROUTING" $IPTABLES -A POSTROUTING -t nat -o $INET_IFACE -s $LAN_NET_ADDR -j MASQUERADE FORWARD chain echo "FORWARD chain" internet to DMZ $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 80 -j $IPTABLES -A FORWARD -p udp -i $INET_IFACE -o $DMZ_IFACE --dport 53 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 25 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 110 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 20 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 21 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 143 -j $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $DMZ_IFACE --dport 443 -j $IPTABLES -A FORWARD -p tcp -i $DMZ_IFACE -o $INET_IFACE --dport 1024: j $IPTABLES -A FORWARD -p udp -i $DMZ_IFACE -o $INET_IFACE --dport 1024: j intranet to DMZ $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 80 -j $IPTABLES -A FORWARD -p udp -i $LAN_IFACE -o $DMZ_IFACE --dport 53 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 25 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 110 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 20 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 21 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 143 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 443 -j $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $DMZ_IFACE --dport 22 -j $IPTABLES -A FORWARD -p tcp -i $DMZ_IFACE -o $LAN_IFACE --dport 1024: j $IPTABLES -A FORWARD -p udp -i $DMZ_IFACE -o $LAN_IFACE --dport 1024: j intranet to internet $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE -o $INET_IFACE -j $IPTABLES -A FORWARD -p udp -i $LAN_IFACE -o $INET_IFACE -j DANIEL WALTHER, SANDRO DÄHLER 15 FIREWALL LAB

16 $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -o $LAN_IFACE --dport 1024: j $IPTABLES -A FORWARD -p udp -i $INET_IFACE -o $LAN_IFACE --dport 1024: j Firewall rules INPUT chain - against bad tcp packets echo "Firewall INPUT chain" packets able to get into the firewall $IPTABLES -A INPUT -p tcp -i $LAN_IFACE --dport 22 -j $IPTABLES -A INPUT -p udp -i $LAN_IFACE --dport 53 -j $IPTABLES -A INPUT -p udp -i $INET_IFACE --dport 1024: j $IPTABLES -A INPUT -p tcp -i $INET_IFACE --dport 1024: j OUTPUT chain echo "Firewall OUTPUT chain" packets able to get out of the firewall $IPTABLES -A OUTPUT -p udp -o $INET_IFACE --dport 53 -j $IPTABLES -A OUTPUT -p tcp -o $LAN_IFACE --dport 1024: j $IPTABLES -A OUTPUT -p udp -o $LAN_IFACE --dport 1024: j EOF DANIEL WALTHER, SANDRO DÄHLER 16 FIREWALL LAB