Hallo almal, vandag bring ek vir u 'n tweede deel van hierdie reeks tutoriale oor firewall met iptables, baie eenvoudig sodat u kan kopieër en plak, ek dink dat dit aan die einde van die dag is waarna alle beginners soek of selfs die meeste ervaar, waarom moet ons die wiel 100 keer herontdek, nie waar nie?
Hierdie keer sê ek vir hulle om te fokus op die spesifieke saak of ons wil hê dat ons firewall baie aggressiewer moet wees met 'n OUTPUT DROP-beleid. Hierdie berig is ook op versoek van 'n leser van hierdie bladsy en my boodskap. (Binne my gedagtes wiiiiiiiiiiiii)
Kom ons praat 'n bietjie oor die "voor- en nadele" van die instelling van Output Drop-beleid, waarteen ek u veral kan sê, is dat dit die werk baie verveliger en moeisamer maak, maar die voordeel is dat u op netwerkvlak sal hê veiligheid as as u gaan sit Om die beleid goed te dink, ontwerp en beplan, sal u 'n baie veiliger bediener hê.
Om nie van die onderwerp af te dwaal nie, gaan ek u vinnig met 'n voorbeeld verduidelik hoe u reëls min of meer moet wees
iptables -A UITVOER -o eth0 -p tcp –sport 80 -m staat –staat GEVESTIG -j AANVAARDING
-A omdat ons die reël bygevoeg het
-o verwys na uitgaande verkeer, dan word die koppelvlak geplaas as dit nie gespesifiseer word nie, want dit pas by almal.
-sport hawe van oorsprong, speel 'n belangrike rol omdat ons in die meeste gevalle nie weet uit watter hawe hulle die versoek gaan rig nie, indien wel, kan ons dport gebruik
–Dport bestemmingshawe, wanneer ons vooraf spesifiek weet dat die uitgaande verbinding slegs na 'n spesifieke hawe moet gaan. Dit moet vir iets baie spesifiek soos 'n afgeleë mysql-bediener wees.
-m staat –staat GEVESTIG Dit is reeds 'n versiering om die reeds gevestigde verbintenisse te handhaaf; ons kan dit in 'n toekomstige pos verdiep
-d om van bestemming te praat, as dit gespesifiseer kan word, byvoorbeeld ssh aan 'n spesifieke masjien deur die ip
#!/bin/bash
# Ons maak iptabelle-tabelle skoon -F iptables -X # Ons maak NAT-iptables -t nat -F iptables -t nat -X # mangle-tafel skoon vir dinge soos PPPoE, PPP en ATM-iptables -t mangle -F iptables -t mangle -X # Beleid Ek dink dit is die beste manier vir beginners en # nog steeds nie sleg nie, ek sal die uitvoer alles verklaar omdat dit uitgaande verbindings is #, invoer, ons gooi alles weg en geen bediener moet aanstuur nie. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Intranet LAN intranet = eth0 # Extranet wan extranet = eth1 # Hou staat. Alles wat reeds gekoppel (gevestig) is, ons laat dit soos iptables -A INPUT -m-toestand - staat GEVESTIG, VERWANTE -j AANVAAR
iptables -A UITVOER -m toestand - staat GEVESTIG, VERWANTE -j AANVAARDING
# Lus-toestel. iptables -A INGANG -i lo -j AANVAAR
# Iptables loopback-uitvoer -A UITVOER -o lo -j AANVAAR
# http, https, ons spesifiseer nie die koppelvlak nie, want # ons wil hê dat dit alle iptabels moet wees -A INPUT -p tcp --dport 80 -j AANVAAR iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# vertrek
# http, https, ons spesifiseer nie die koppelvlak nie omdat
# ons wil hê dat dit vir almal moet wees, maar as ons die uitvoerpoort spesifiseer
iptables -A UITVOER -p tcp - sport 80 -j AANVAAR iptables -A UITVOER -p tcp - sport 443 -j AANVAAR
# ssh slegs intern en uit hierdie reeks IP-iptabels -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --port 7659 -j AANVAAR
# uitvoer # ssh slegs intern en uit hierdie reeks IP's
iptables -A UITVOER -p tcp -d 192.168.xx / 24 -o $ intranet - sport 7659 -j AANVAAR
# monitering byvoorbeeld as hulle zabbix of 'n ander snmp-diens iptables het -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j AANVAAR
# vertrek
# monitering byvoorbeeld as hulle zabbix of 'n ander snmp-diens het
iptables -A UITVOER -p tcp -d 192.168.1.1 -o $ intranet --port 10050 -j AANVAAR
# icmp, ping goed is jou besluit iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j AANVAAR
# vertrek
# icmp, ping goed is jou besluit
iptables -A UITVOER -p icmp -d 192.168.xx / 24 -o $ intranet -j AANVAAR
#mysql met postgres is poort 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j AANVAAR
# uitvoer - vraag wat ook deur 'n gebruiker gevra word om 'n baie spesifieke # reëlbediener te maak: 192.168.1.2 mysql: 192.168.1.3
#mysql met postgres is poort 5432
iptables -A UITVOER -p tcp -s 192.168.1.2 -d 192.168.1.3 --port 3306 -o $ intranet -j AANVAAR
#sendmail bueeeh as u e-pos wil stuur #iptables -A UITVOER -p tcp --dport 25 -j AANVAAR # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - die regte wan IP van u LAN_RANGE-bediener = "192.168.xx / 21" # LAN-reeks van u netwerk of u vlan # IP's wat nooit in die ekstranet moet ingaan nie, dit is om 'n bietjie # logika te gebruik as ons 'n suiwer WAN-koppelvlak het, dit moet nooit voer # verkeer LAN-tipe in deur die koppelvlak SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Standaard aksie - moet uitgevoer word wanneer enige reël ooreenstem met ACTION = "DROP" # pakkies met dieselfde ip as my bediener deur die wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A UITVOER -o $ extranet -s $ SERVER_IP -j $ ACTION
# Pakkies met die LAN-reeks vir die wan, ek stel dit so in geval u # enige netwerk het, maar dit is oorbodig met die volgende # reël in die "for" lus-iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ AKSIE
iptables -A UITVOER -o $ extranet -s $ LAN_RANGE -j $ ACTION
## Alle SPOOF-netwerke word nie toegelaat deur die wan vir ip in $ SPOOF_IPS nie-tabelle -A INVOER -i $ ekstranet -s $ ip -j $ AKSIE
iptables -A UITVOER -o $ extranet -s $ ip -j $ ACTION
gedoenIn die volgende oorsig sal ons onder meer 'n wye reeks doen en ook beleidsrigtings opstel wat onder andere georganiseer word ... Ek wag op u kommentaar en versoeke.
Wees die eerste om te kommentaar lewer