আমি এই iptables সম্পর্কে দুটি বিষয় নিয়ে চিন্তা করে কিছু সময় ব্যয় করেছি: যারা এই টিউটোরিয়ালগুলি সন্ধান করেন তাদের বেশিরভাগই শিক্ষানবিশ এবং দ্বিতীয়ত, অনেকে ইতিমধ্যে মোটামুটি সহজ এবং ইতিমধ্যে বিশদযুক্ত কিছু সন্ধান করছেন।
এই উদাহরণটি একটি ওয়েব সার্ভারের জন্য, তবে আপনি সহজেই আরও বিধি যুক্ত করতে এবং এটি আপনার প্রয়োজনের সাথে খাপ খাইয়ে নিতে পারেন।
আপনি যখন আপনার আইপিএসের জন্য "এক্স" পরিবর্তন দেখেন
#!/bin/bash
# আমরা iptables টেবিলগুলি পরিষ্কার করি --F iptables -X # আমরা পিপিপিও, পিপিপি, এবং এটিএম iptables -t ম্যাঙ্গেল -F iptables -t ম্যাঙ্গেল-এক্স # নীতিমালা যেমন জিনিসগুলির জন্য NAT iptables -t nat -F iptables -t nat -X # মঙ্গলের টেবিল পরিষ্কার করি আমি মনে করি এটি প্রাথমিকের জন্য সেরা উপায় এবং # এখনও খারাপ নয়, আমি আউটপুট (আউটপুট) সবই ব্যাখ্যা করব কারণ তারা বহির্গামী সংযোগগুলি #, ইনপুট আমরা সব ফেলে দিই এবং কোনও সার্ভারকে এগিয়ে দেওয়া উচিত নয়। iptables -P INPUT DROP iptables -P OUTPUT ACCEPT Iptables -P ফরওয়ার্ড ড্রপ # ইন্ট্রানেট ল্যান ইন্ট্রানেট = eth0 # এক্সট্রানেট ওয়ান এক্সট্রানেট = eth1 # রাষ্ট্র রাখুন। ইতোমধ্যে সংযুক্ত (প্রতিষ্ঠিত) সমস্ত কিছু এইভাবেই ফেলে রাখা হয়েছে: iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT # লুপ ডিভাইস। iptables -A INPUT -i lo -j ACCEPT # HTTP, https, আমরা ইন্টারফেসটি নির্দিষ্ট করি না কারণ # আমরা এটি সমস্ত iptables হতে চাই -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j এসিসিপিটি # এসএসএস কেবল অভ্যন্তরীণভাবে এবং আইপি-র iptables এর এই পরিসীমা থেকে -A INPUT -p tcp -s 192.168.xx / 24 -i $ ইন্ট্রানেট --dport 7659 -j এসিসিপিটি # পর্যবেক্ষণ উদাহরণস্বরূপ যদি তাদের কাছে জ্যাবিক্স বা অন্য কিছু রয়েছে স্ন্যাম্প পরিষেবা আইপটিবল -এ ইনপুট -p টিসিপি-এস 192.168.xx / 24 -i $ ইন্ট্রানেট --dport 10050 -j এসিসিপিটি # আইসিএমপি, পিং ভাল এটি আপনার উপর নির্ভরযোগ্য -এ ইনপুট-পি আইসিএমপি-এস 192.168.xx / 24 - i $ ইন্ট্রানেট-জে এসিসিপিটি # মাইএসকিউএল পোস্টগ্রিসের সাথে বন্দর হয় 5432 আইপিটেবল -A ইনপুট-পি টিসিপি-এস 192.168.xx - স্পোর্ট 3306 -আই $ ইন্ট্রানেট-জে এসিসিপিটি # স্যান্ডেল বুয়েইহ আপনি যদি কিছু মেইল প্রেরণ করতে চান তবে # একটি অপটিক্ট -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # সার্ভার আইপি - আপনার সার্ভারের আসল ওয়ান আইপি LAN_RANGE = "192.168.xx / 21" # ল্যান রেঞ্জ আপনার নেটওয়ার্ক বা আপনার ভ্যালান # আইপি এর যে কখনও এক্সট্রানেটে প্রবেশ করা উচিত নয়,কিছুটা # লজিক ব্যবহার করা যদি আমাদের কাছে বিশুদ্ধভাবে ডাব্লুএইএন ইন্টারফেস থাকে তবে সেই ইন্টারফেসের মাধ্যমে # ল্যান টাইপ ট্র্যাফিকটি কখনই প্রবেশ করা উচিত নয় SPOOF_ips = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 / 16 "# ডিফল্ট অ্যাকশন - সম্পাদনের জন্য যখন কোনও নিয়ম অ্যাকশন =" ড্রপ "# প্যাকেটগুলিতে আমার সার্ভারের একই আইপি-এর সাথে ওয়াপ আইপটেবল -A ইনপুট -i $ এক্সরানেট-গুলি $ SERVER_IP -j $ অ্যাকশন # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ক্রিয়াকলাপটি # ল্যান রেঞ্জের প্যাকেটের জন্য ওয়ানের জন্য, আমি যদি আপনার # কোনও নির্দিষ্ট নেটওয়ার্কের ক্ষেত্রে থাকে তবে এটি লুপের ভিতরে নিম্নলিখিত # নিয়মের সাথে অপ্রয়োজনীয় " "iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ক্রিয়াকলাপ iptables -A OUTPUT -o ran এক্সরানেট-গুলি $ LAN_RANGE -j $ ক্রিয়া ## সমস্ত স্পোফ নেটওয়ার্ক SP SPOOF_IP এ আইপি-র জন্য অনুমোদিত নয় আইপিটবেল করুন -এ ইনপুট -i $ এক্সট্রানেট-এস $ আইপি-জ $ অ্যাকশন আইপটিবল -এ আউটপুট -o ran এক্সরানেট-এস ip আইপি-জে $ অ্যাকশন সম্পন্ন
আমি সর্বদা আপনার মন্তব্যগুলির জন্য অপেক্ষা করছি, এই ব্লগে থাকুন, ধন্যবাদ