LX-SVS-LABO-iptables
Updated sep/27/10 14:03

labo: iptables / squid

fw-iptables: een gefilterde NAT-router met enkele open services (squid en squidguard met apache error page) op zichzelf

We gaan een echte firewall construeren:


De bedoeling is nu een linux server op te zetten met een proxy-squid, voorzien van squidguard met een locale default verwijzing redirect naar een pagina op je apache server en tevens een ssh-service.

Bovendien moeten we vanuit het private netwerk ook een DNS kunnen bereiken, kunnen mailen naar SMTP en POP3 en tenslotte ook SSH-en naar buiten.

We mogen van binnen uit alleen kunnen surfen via de proxy.

We zullen eerst het netwerk controleren en configureren,

daarna de proxy server squid en zijn plug-in squidguard,
een apache server voor een relayed error pagina van squidguard,    

en natuurlijk een iptables script.
Daarna moeten we alles testen vanaf een windows machine.

  1. Controlleer maar eerst je netwerkconfiguratie: het is de bedoeling dat je twee netwerkkaarten in je computer hebt, één ervan (in deze tekst eth0) verwijst naar het niet beveiligde netwerk (het internet), en dat is bij intec 172.16.31, en de andere kaart (in deze tekst eth1) verwijst naar het interne beveiligde netwerk 192.168.0 Het is natuurlijk geen probleem als in jouw geval de netwerkkaarten andere verwijzingen hebben (eth2, wlan0 e.a). Dan moet je natuurlijk wel het externe netwerk correct instellen volgens de gegevens van de provider. Het interne netwerk kies je meestal zelf. Kijk vooral ook na of je default gateway goed staat, en zeker je DNS.

  2. Controlleer je squid proxy: kijk vooral na of je toegang verleent aan het beveiligde netwerk (meestal acl localnet) Controlleer daarna of je squid werkt (browser instellen op proxy localhost 3128)

  3. Controlleer je squidguard. Verwijs naar een redirect pagina die bestaat op je locale apache server.

  4. Test een verboden website op je browser.

  5. Controlleer natuurlijk je apache server. (Browser naar localhost)

  6. Maak zelf een iptables script en maak een link naar rc2.d in debian of rc3.d en rc5.d in red hat based linuxen.

    # ln -s /etc/iptables/<je_script> /etc/rc2.d/S11firewall

    Als het echt niet lukt kun je even spieken op de volgende link:
    http://www.linux800.be/lx-svs-labo-iptables-oplossing.php

  7. Ga nu naar een client station:

  8. Stel het netwerk correct in (ip address in interne subnet van firewall - default gateway is interne ip address van firewall, dns moet verwijzen naar buiten toe.

  9. Controlleer nu de firewall vanaf een dosbox op je windows client (mag ook een linux client zijn)

    NAT routing:
    Moet werken:
    c:\> nslookup google.com
    c:\> telnet <externe.mail.server> 25
    c:\> telnet <externe.pop.server> 110
    Mag niet werken:
    c:\> telnet <externe samba.server> 135
    c:\> telnet www.google.com 80
    c:\> telnet <externe.proxy.server> 3128 of 8080

    LOCAL services
    Moet werken:
    c:\> telnet <firewall> 3128
    c:\> telnet <firewall> 80
    c:\> telnet <firewall> 22
    Mag niet werken:
    c:\> telnet <firewall> 25 of 110 of 21 enz.

  10. Stel de browser op je client pc in voor gebruik met proxy <je firewall>
    test een gewone website http://www.google.com  -> als je een squid error krijgt moet je de squid proxy nog instellen voor toegang vanaf interne netwerk
    test http://www.hoehel.wvl : de proxy moet een error message op scherm brengen
    test een verboden website (in squidguard): de squidguard redirect website moet nu op scherm komen.

  11. Herstart volledig je linux firewall machine, en log niet meer in, en kijk of je client nog alles doet zoals het hoort

  12. Download nu nmap en test je firewall