-Alle overige uitgaande verbindingen naar het DMZ of het interne netwerk zijn niet toegestaan. Uitgaande verbindingen naar het internet zijn dus wel toegestaan
Heb ik de volgende regels gedifinieerd: iptables -A OUTPUT -d 10.0.0.0/24 -j DROP iptables -A OUTPUT -d 192.168.0.0/24 -j DROP iptables -A OUTPUT -d 0.0.0.0/0 -j ACCEPT
Dit geeft de foutmelding (letterlijk gequote, inc. de taalfout): "Failed: Controleer of alle overige uitgaande verbindingen naar het DMZ of het interne netwerk zijn niet toegestaan"
Waarschijnlijk maak ik een denkfout. Als ik me niet vergis zeggen de eerste twee regels dat alle typen uitgaande verbidingingen naar de twee subnets (DMZ en het interne netwerk) worden geweigerd en de derde regel geeft aan dat alle overige uitgaande verbindingen wel zijn toegestaan. Welke denkfout maak ik?
Ik ken de casus niet en wil niet meteen alles "verklappen". Een hint dus: als ik me niet vergis is, met bovenstaande regels, communicatie met 10.0.0.0/24 en 192.168.0.0/24 via deze firewall geheel niet mogelijk.
Ik heb hem opgelost. Dank Erik! Een tip die ik mezelf nog gegeven zou hebben (probleem zat ook in de eerdere regels) is:
Alle actieve verbindingen hoef je niet expliciet in de firewall toe te laten voor iedere unieke host. Je kunt ook met 1 regel zorgen dat alle actieve verbindingen het gewoon doen. Dan hoef je alleen de initialisatie van die verbinding expliciet toe te staan.
03-02-2020, 13:50 door Anoniem
Ik zit op hetzelfde punt vast als Pieterr zat.
Via de kennisbank kan ik een link vinden naar een voorbeeld voor het openstellen van de verbindingen naar het internet. Hierin wordt alleen het toestaan van een lookback beschreven als noodzakelijk. Ik kan alleen geen lookback maken in de Build that firewall tool. I.p.v de optie -i lo kan ik alleen -i lo0 selecteren en geeft de tool bij controleren " onbekende interface" aan.
Ik staar me hier nu op suf vanwege de "actieve verbindingen" uit het stukje van Pieterr. Heeft iemand een hint of dit op de goede weg zit of dat ik het totaal ergens anders moet zoeken?
03-02-2020, 22:53 door Anoniem
Je kunt het beste ook alle ingaande traffic op deze private ranges blocken maar dan op alle interfaces die geen loopback interface zijn.
Dus -i eth0 -i eth1 etc daar kun je alle private class IPs (in en uit) blocken. Voor het geval van een " encapsulation" attack.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Altijd meteen op de hoogte van het laatste security nieuws?
Volg ons ook op X!
Nieuwe Huisregels en Privacy Policy
Privacy Policy
Inloggen
Wachtwoord Vergeten
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een
nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een
nieuw wachtwoord in te stellen.
Password Reset
Wanneer je het juiste e-mailadres hebt opgegeven ontvang
je automatisch een nieuwe activatielink. Deze link kan je
gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Registreren
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet
deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink
die naar het opgegeven e-mailadres is verstuurd.