Artikel: Säkra upp DM500 med PLI och inbyggd brandvägg

[Bogdan]

Du kan se sidan på http://www.comhit.net/content.php/19...randv%C3%A4gg.
*********
Här kommer en liten guide för att använda den inbyggda firewallen (iptables) i en Dreambox. Denna guide är skriven för en DM500 med PLI från 2009 (ej maxvar), inte OpenPli. Har inte testat med OpenPli.
Eftersom det är Linux så fungerar det säkert på flera boxar också.

Bifogad fil 837
Pli använder sig av filen /var/bin/firewall.sh Jag har modifierat originalfilen lite för att slippa använda en extra fil /var/etc/firewall.users.

Den modifierade filen ser ut så här.

Kod:

#!/bin/sh 
export PATH=/sbin:/usr/sbin:/bin:/usr/bin

ALLOW_LAN_ACCESS="0"
ALLOWED_PORTS="22 14001"
ALLOWED_IPS=""
IPTABLES=`which iptables`
MODULES="/lib/modules/$(uname -r)/kernel/net/ipv4/netfilter"

if [ "$IPTABLES#" = "#" ]; then echo "Iptables binary not found !"; exit; fi
if [ ! -r $MODULES/ip_tables.ko ]; then echo "Kernel firewall modules not found !"; exit; fi

case "$1" in
  'start')
  check=`lsmod | grep -c "^ip_tables"`
  if [ $check = 0 ]
  then
    insmod $MODULES/ip_tables.ko
  fi

  check=`lsmod | grep -c "^ip_conntrack"`
  if [ $check = 0 ]
  then
    insmod $MODULES/ip_conntrack.ko
  fi
    
  check=`lsmod | grep -c "^iptable_nat"`
  if [ -r $MODULES/iptable_nat.ko ] && [ $check = 0 ]
  then
    insmod $MODULES/iptable_nat.ko
  fi

  for MOD in `ls $MODULES | sed -e "s/\([^. ]*\).*/\1/"`
  do
    check=`lsmod | grep -c "^$MOD"`
    if [ $check = 0 ] && [ $MOD != 'ip_tables' ]
    then
      insmod $MODULES/$MOD.ko
    fi
  done

  LOOPBACK=`/sbin/ifconfig lo | grep 'inet addr:' | sed -e 's/.*inet addr:\([^ ]*\).*/\1/'`
  INTERNAL=`/sbin/ifconfig eth0 | grep 'inet addr:' | sed -e 's/.*inet addr:\([^ ]*\).*/\1/' | cut -d"." -f1-3`.0/24

  $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
  $IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT 
  $IPTABLES -A INPUT -s $LOOPBACK -j ACCEPT
  $IPTABLES -P INPUT DROP
  $IPTABLES -P FORWARD DROP

  for PORT in $ALLOWED_PORTS; do
    $IPTABLES -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port $PORT -j ACCEPT
  done

  if [ $ALLOW_LAN_ACCESS = "1" ]; then
    $IPTABLES -A INPUT -i eth0 -s $INTERNAL -j ACCEPT 
  fi

  for IP in $ALLOWED_IPS; do
    $IPTABLES -A INPUT -s $IP -j ACCEPT
  done 

  echo "Firewall is active!."
  exit 1
  ;;

  'stop')
  $IPTABLES -P INPUT ACCEPT 
  $IPTABLES -P OUTPUT ACCEPT 
  $IPTABLES -P FORWARD ACCEPT 
  $IPTABLES -F 
  $IPTABLES -X

  echo "Firewall disabled."
  exit 2
  ;;

  'restart')
     $0 stop || $0 start || echo "Firewall has restarted." || echo "" || exit 3
  ;;
    
  'status')
    $IPTABLES -L
    exit 4
  ;;

  *)
    echo
    echo "Options: $0 {start|stop|restart|status}"
    echo 
  exit 6
esac
exit 0

ALLOW_LAN_ACCESS="0" Sätt 1 i fall du vill tillåta datorer på samma lan. Rekommenderas ej då du har externt ip på boxen. Denna behöver inte vara 1 för att boxen ska komma åt sig själv, t.ex. gSub som vill komma åt webinterfacet.

ALLOWED_PORTS="22 14000" En lista med portar som ska vara tillåtna.

ALLOWED_IPS="" En lista med ip-nummer som ska vara tillåtna.

För att aktivera brandväggen går man på blå knapp, System settings, Services to run. Skulle man nu råkat göra ett fel så man inte kommer åt boxen slår man ifrån brandväggen på samma ställe.

Tips:
Man behöver inte tillåta portar för att komma åt dem. Det går att installera Dropbear SSH (via blue panel) och sedan tillåta sshporten i brandväggen och när man loggar in så skapar man en tunnel till port 80 (finns inbyggt stöd för det i t.ex. SecureCRT och säkert Putty med). Då kommer man åt boxen genom att surfa till http://localhost och vill man ftpa till boxen ftpar man till localhost så styrs det om till boxen.