-Alle overige uitgaande verbindingen naar het DMZ of het interne netwerk zijn niet toegestaan. Uitgaande verbindingen naar het internet zijn dus wel toegestaan
Heb ik de volgende regels gedifinieerd: iptables -A OUTPUT -d 10.0.0.0/24 -j DROP iptables -A OUTPUT -d 192.168.0.0/24 -j DROP iptables -A OUTPUT -d 0.0.0.0/0 -j ACCEPT
Dit geeft de foutmelding (letterlijk gequote, inc. de taalfout): "Failed: Controleer of alle overige uitgaande verbindingen naar het DMZ of het interne netwerk zijn niet toegestaan"
Waarschijnlijk maak ik een denkfout. Als ik me niet vergis zeggen de eerste twee regels dat alle typen uitgaande verbidingingen naar de twee subnets (DMZ en het interne netwerk) worden geweigerd en de derde regel geeft aan dat alle overige uitgaande verbindingen wel zijn toegestaan. Welke denkfout maak ik?
Ik ken de casus niet en wil niet meteen alles "verklappen". Een hint dus: als ik me niet vergis is, met bovenstaande regels, communicatie met 10.0.0.0/24 en 192.168.0.0/24 via deze firewall geheel niet mogelijk.
Ik heb hem opgelost. Dank Erik! Een tip die ik mezelf nog gegeven zou hebben (probleem zat ook in de eerdere regels) is:
Alle actieve verbindingen hoef je niet expliciet in de firewall toe te laten voor iedere unieke host. Je kunt ook met 1 regel zorgen dat alle actieve verbindingen het gewoon doen. Dan hoef je alleen de initialisatie van die verbinding expliciet toe te staan.
03-02-2020, 13:50 door Anoniem
Ik zit op hetzelfde punt vast als Pieterr zat.
Via de kennisbank kan ik een link vinden naar een voorbeeld voor het openstellen van de verbindingen naar het internet. Hierin wordt alleen het toestaan van een lookback beschreven als noodzakelijk. Ik kan alleen geen lookback maken in de Build that firewall tool. I.p.v de optie -i lo kan ik alleen -i lo0 selecteren en geeft de tool bij controleren " onbekende interface" aan.
Ik staar me hier nu op suf vanwege de "actieve verbindingen" uit het stukje van Pieterr. Heeft iemand een hint of dit op de goede weg zit of dat ik het totaal ergens anders moet zoeken?
03-02-2020, 22:53 door Anoniem
Je kunt het beste ook alle ingaande traffic op deze private ranges blocken maar dan op alle interfaces die geen loopback interface zijn.
Dus -i eth0 -i eth1 etc daar kun je alle private class IPs (in en uit) blocken. Voor het geval van een " encapsulation" attack.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Wij zijn gespecialiseerd in netwerk-authenticatie-oplossingen en werken samen met F5 Networks en Radiator Software. Jij analyseert het vraagstuk van de klant, je ontwerpt de oplossing en zorgt voor een pragmatische en gestructureerde project-aanpak. Daarin neem je initiatief en kom je met ideeën om het netwerk van de klant en zijn gebruikers zo optimaal mogelijk te maken.
Als senior security specialist bij het Nationaal Cyber Security Centrum (NCSC) in Den Haag doe jij er alles aan om digitale drei-gingen te voorkomen en incidenten te lijf te gaan. Een uitdagende baan waarin je als senior security specialist bij het Nationaal Cyber Security Centrum op nationaal niveau een bijdrage levert aan de digitale veiligheid van Nederland
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Altijd meteen op de hoogte van het laatste security nieuws?
Volg ons ook op X!
Nieuwe Huisregels en Privacy Policy
Privacy Policy
Inloggen
Wachtwoord Vergeten
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een
nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een
nieuw wachtwoord in te stellen.
Password Reset
Wanneer je het juiste e-mailadres hebt opgegeven ontvang
je automatisch een nieuwe activatielink. Deze link kan je
gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Registreren
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet
deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink
die naar het opgegeven e-mailadres is verstuurd.