sv-iptables und ntp

2013-11-21 18:09:40 +01:00 · 2013-11-21 18:09:40 +01:00 · 7e064c3971
parent 0b99d005ef
commit 7e064c3971
3 changed files with 46 additions and 0 deletions
--- a/bericht/abschnitte/sv-iptables.tex
+++ b/bericht/abschnitte/sv-iptables.tex
@ -0,0 +1,35 @@
+\subsection{Netfilter und IPtables}
+
+\subsubsection{Grundkonfiguration}
+
+Beim Systemstart werden die Filterregeln aus der {\tt iptables.rules} (siehe
+\emph{aufgabe3.1/iptables.rules}) übernommen. Diese wurde so konfiguriert, dass bestehende Verbindungen, sowie Verbindungen aus dem internen LAN automatisch erlaubt werden. Der Zugriff von außerhalb ist auf den Port 22 beschränkt. Zur Absicherung gegen BruteForce verwenden wird {\tt sshguard}, für das wir einen eigene Chain {\tt sshguard} in der {\tt iptables.rules} eingetragen haben. Alle Zugriffe auf Port 22 werden an diese Chain übergeben. Erfolgen in kurzer Zeit zu viele unauthorisierte Zugriffe, trägt das Programm {\tt sshguard} automatisch temporär eine neue DROP-Regel in die {\tt sshguard}-Chain ein.
+
+
+\subsubsection{Forwarding und Masquerading}
+
+Das Internet wird durch folgende Regel in der NAT-Tabelle:
+
+\begin{lstlisting}
+-A POSTROUTING -o eth0 -j MASQUERADE
+\end{lstlisting}
+
+für die Compute-Nodes zugängig gemacht. Dazu musste noch die Datei {\tt /etc/sysctl.d} mit der Zeile: 
+
+\begin{lstlisting}
+net.ipv4.ip_forward = 1
+\end{lstlisting}
+
+erstellt werden.
+
+
+\subsubsection{Diagnose und Logging}
+
+Alle abgeblockten Verbindungen landen in der {\tt logging}-Chain, wo sie durch:
+
+\begin{lstlisting}
+-A logging -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
+\end{lstlisting}
+
+geloggt werden. Die Anzahl der Meldungen haben wir auf 2 pro Minute limitiert. Der Log kann unter {\tt /var/log/iptables.log} gefunden werden.
+
--- a/bericht/abschnitte/sv-ntp.tex
+++ b/bericht/abschnitte/sv-ntp.tex
@ -0,0 +1,9 @@
+\subsection{NTP}
+
+Auf dem Head-Node wurde der Server {\tt time.zih.tu-dresden.de} als Zeitserver eingetragen und die folgende Zeile eingefügt:
+
+\begin{lstlisting}
+restrict 10.20.0.0 mask 255.255.255.0 nomodify notrap nopeer
+\end{lstlisting}
+
+Auf dem Compute-Node wurde {\tt zotac0} als Zeitserver eingetragen.
--- a/bericht/abschnitte/sv.tex
+++ b/bericht/abschnitte/sv.tex
@ -6,6 +6,8 @@

 \input{abschnitte/sv-filesystems}

+\input{abschnitte/sv-ntp}
+
 \input{abschnitte/sv-ldap}

 \pagebreak