সবাইকে হ্যালো, আজ আমি আপনাদের জন্য ফায়ারওয়ালে এই সিরিজটির টিউটোরিয়ালগুলির দ্বিতীয় অংশটি আইপটেবলের সাথে নিয়ে এসেছি, খুব সহজ যাতে আপনি অনুলিপি করতে পারেন এবং পেস্ট করতে পারেন, আমি মনে করি দিনের শেষে এটিই শুরু হয় যা সমস্ত নবজাতক সন্ধান করে বা এমনকি সবচেয়ে অভিজ্ঞ, কেন আমাদের চাকাটি 100 বার পুনরুদ্ধার করতে হবে, তাই না?
এবার আমি তাদের বলি যে আমরা আমাদের ফায়ারওয়ালকে একটি OUTPUT ড্রপ নীতি দিয়ে আরও বেশি আগ্রাসী হতে চাই কিনা তার খুব নির্দিষ্ট ক্ষেত্রে মনোযোগ দেওয়ার চেষ্টা করুন। এই পোস্টটি এই পৃষ্ঠা এবং আমার পোস্টের পাঠকের অনুরোধেও রয়েছে। (আমার মনের ভিতর wiiiiiiiiiiiii)
আসুন আউটপুট ড্রপ নীতিমালা প্রতিষ্ঠার "উপকারিতা" সম্পর্কে কিছুটা কথা বলা যাক, যার বিষয়ে আমি আপনাকে বলতে পারি এটি কাজটিকে আরও ক্লান্তিকর এবং শ্রমসাধ্য করে তোলে, তবে সমর্থকরা হলেন যে আপনি যদি বসে থাকেন তার চেয়ে নেটওয়ার্ক পর্যায়ে আপনার সুরক্ষা থাকবে নীতিগুলি ভালভাবে ডিজাইন এবং পরিকল্পনা করার জন্য আপনার কাছে আরও অনেক সুরক্ষিত সার্ভার থাকবে।
বিষয় ঘোরাফেরা বা বিষয় না ছড়িয়ে পড়ার জন্য, আমি আপনার নিয়ম আরও কম বা কম কতটা হওয়া উচিত তা উদাহরণ দিয়ে আপনাকে দ্রুত ব্যাখ্যা করতে যাচ্ছি
iptables -A OUTPUT -o eth0 -p tcp - 80 -m state -state ESTABLISHED -j ACCEPT
-A কারণ আমরা বিধি যুক্ত করেছি
-o আউটবাউন্ড ট্র্যাফিককে বোঝায়, তারপরে ইন্টারফেসটি নির্দিষ্ট না করা থাকলে এটি সমস্তটির সাথে মেলে।
-খেলা উত্স বন্দর, একটি গুরুত্বপূর্ণ ভূমিকা পালন করে কারণ বেশিরভাগ ক্ষেত্রে আমরা জানি না যে তারা কোন বন্দর থেকে অনুরোধ করবে, যদি তাই হয় তবে আমরা ডিপোর্ট ব্যবহার করতে পারি
Portডਪੋਰਟ গন্তব্য বন্দর, যখন আমরা বিশেষত আগে থেকেই জানি যে বহির্গামী সংযোগটি কেবল একটি নির্দিষ্ট বন্দরে যেতে হবে। এটি উদাহরণস্বরূপ রিমোট মাইএসকিএল সার্ভারের মতো খুব নির্দিষ্ট কোনও কিছুর জন্য হতে হবে।
-মিয়ার স্টেট স্টেট ইস্টাব্লিশড এটি ইতিমধ্যে প্রতিষ্ঠিত সংযোগগুলি বজায় রাখার শোভাকর, আমরা এটি ভবিষ্যতের পোস্টে প্রকাশ করতে পারি
-d গন্তব্য সম্পর্কে কথা বলতে, যদি এটি নির্দিষ্ট করা যায়, উদাহরণস্বরূপ তার আইপি দ্বারা নির্দিষ্ট মেশিনে এসএসএস করুন
#!/bin/bash
# আমরা iptables টেবিলগুলি পরিষ্কার করি --F iptables -X # আমরা পিপিপিও, পিপিপি, এবং এটিএম iptables -t ম্যাঙ্গেল -F iptables -t ম্যাঙ্গেল-এক্স # নীতিমালা যেমন জিনিসগুলির জন্য NAT iptables -t nat -F iptables -t nat -X # মঙ্গলের টেবিল পরিষ্কার করি আমি মনে করি এটি প্রাথমিকের জন্য সেরা উপায় এবং # এখনও খারাপ নয়, আমি আউটপুট (আউটপুট) সবই ব্যাখ্যা করব কারণ তারা বহির্গামী সংযোগগুলি #, ইনপুট আমরা সব ফেলে দিই এবং কোনও সার্ভারকে এগিয়ে দেওয়া উচিত নয়। iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P ফরওয়ার্ড ড্রপ # ইন্ট্রানেট ল্যান ইন্ট্রানেট = eth0 # এক্সট্রানট ওয়ান এক্সট্রানেট = eth1 # রাষ্ট্র রাখুন। ইতোমধ্যে সংযুক্ত যাবতীয় (প্রতিষ্ঠিত) আমরা এটিকে এই iptables এর মতো ছেড়ে চলেছি - একটি ইনপুট-মি রাষ্ট্র - স্তরের প্রতিষ্ঠিত, সংযুক্ত-জে এসিসিপিটি
iptables -A আউটপুট-মি স্টেট - স্টেট স্টেট ইস্টাব্লিশড, রিলেটেড -জ অ্যাকিসিপিটি
# লুপ ডিভাইস। iptables -A INPUT -i lo -j ACCEPT
# Iptables লুপব্যাক আউটপুট -এ আউটপুট-লো লো-জ এসিসিপিটি
# এইচটিপি, https, আমরা ইন্টারফেসটি নির্দিষ্ট করে না কারণ # আমরা এটি সমস্ত আইপটেবল হতে চাই -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# প্রস্থান
# HTTP, https, কারণ আমরা ইন্টারফেসটি নির্দিষ্ট করি না
# আমরা চাই এটি সবার জন্য হোক তবে যদি আমরা আউটপুট পোর্টটি নির্দিষ্ট করি
iptables -A OUTPUT -p tcp - 80 -j ACCEPT iptables -A OUTPUT -p tcp - স্পোর্ট 443 -j এসিসিপিটি
# এসএসএস কেবলমাত্র অভ্যন্তরীণভাবে এবং এই আইপি-র iptables- এর ইনপুট -p tcp -s 192.168.xx / 24 -i $ ইন্ট্রনেট --dport 7659 -j এসিসিপিটি
# আউটপুট # এসএসএস কেবলমাত্র অভ্যন্তরীণভাবে এবং আইপিসের এই ব্যাপ্তি থেকে
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ ইন্ট্রানেট - স্পোর্ট 7659 -জে এসিসিপিটি
# নিরীক্ষণ উদাহরণস্বরূপ যদি তাদের কাছে জ্যাবিক্স বা কিছু অন্যান্য স্ন্যাপ পরিষেবা iptables -A INPUT -p tcp -s 192.168.1.1 -i $ ইন্ট্রনেট --dport 10050 -j এসিসিপিটি রয়েছে
# প্রস্থান
# নিরীক্ষণ উদাহরণস্বরূপ যদি তাদের জ্যাববিক্স বা অন্য কোনও স্ন্যাপ পরিষেবা রয়েছে
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ ইন্ট্রানেট --dport 10050 -j এসিসিপিটি
# আইসিএমপি, পিং ভাল হ'ল আপনার সিদ্ধান্ত ip টেবিলগুলি- একটি ইনপুট-পি আইসিএমপি -s 192.168.xx / 24 -i $ ইন্ট্রনেট -জে এসিসিপিটি
# প্রস্থান
# আইসিএমপি, পিং গুড হ'ল আপনার সিদ্ধান্ত
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ ইন্ট্রানেট -j এসিসিপিটি
পোস্টগ্রিস সহ # এমএসকিউএল হ'ল পোর্ট 5432 আইপিটিবেলস-এ ইনপুট-পি টিসিপি-এস 192.168.xx - স্পোর্ট 3306 -আই $ ইন্ট্রানেট-জে এসিসিপিটি
# আউটপুট - প্রশ্নটি একটি খুব নির্দিষ্ট # নিয়ম সার্ভার তৈরি করতে ব্যবহারকারীকে জিজ্ঞাসা করেছে: 192.168.1.2 mysql: 192.168.1.3
পোস্টগ্রিস সহ # এমএসকিউএল পোর্ট 5432
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ इंट্রানেট -j এসিসিপিটি
আপনি যদি কিছু মেইল প্রেরণ করতে চান তবে # স্যান্ডমেল বুয়েইহ -এইচটিবেলস -এ আউটপুট -p টিসিপি --dport 25 -j এসিসিপিটি # অ্যান্টি-স্পোফিং 09/07/2014 # সার্ভারিআইপি = "190.xxx" # সার্ভার আইপি - আপনার আসল ওয়ান আইপি সার্ভার ল্যান_আরঙ্গ = "192.168.xx / 21" # আপনার নেটওয়ার্কের ল্যান পরিসীমা বা আপনার ভ্লান # আইপি যা কখনও এক্সট্রানেটে প্রবেশ করতে পারে না, এটি যদি আমাদের খাঁটি WAN ইন্টারফেস থাকে তবে এটি # যুক্তি কিছুটা ব্যবহার করা উচিত, এটি কখনই # ট্র্যাফিক প্রবেশ করবে না ল্যানটি সেই ইন্টারফেসের মাধ্যমে টাইপ করুন SPOOF_IP = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # ডিফল্ট ক্রিয়া - যখন কোনও নিয়ম ACTION = এর সাথে মেলে তখন সম্পাদন করতে হবে " WIN iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION এর মাধ্যমে আমার সার্ভারের মতো একই আইপি সহ "# প্যাকেটগুলি ড্রপ করুন"
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION
ওয়ানের জন্য ল্যান রেঞ্জের সাথে প্যাকেটগুলি, আপনার যদি কোনও নির্দিষ্ট নেটওয়ার্ক থাকে তবে আমি এটি এটির মতো করে রাখি তবে এটি "লুপ আইপটবেলস" -র ইনপুট-আই $ এক্সট্রানেট-এস $ ল্যান_রঙ্গ-জে এর মধ্যে নিম্নলিখিত # নিয়মের সাথে অপ্রয়োজনীয় is CTION কর্ম
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ক্রিয়া
## সমস্ত স্পোফ নেটওয়ার্ক IPS এসপিওএফ_আইপিএস-এ আইপি-র জন্য মঞ্জুরিপ্রাপ্ত নয়- একটি ইনপুট -i $ এক্সট্রানেট-এস ip -j $ অ্যাকশন
iptables -A আউটপুট -o $ এক্সট্রানেট-এস ip -j $ ক্রিয়া
সম্পন্নপরবর্তী পর্যালোচনায় আমরা বন্দর পরিসীমা করব এবং নামগুলির দ্বারা সংগঠিত নীতিগুলিও অন্যান্য বিষয়গুলির সাথে প্রতিষ্ঠিত করব ... আমি আপনার মন্তব্য এবং অনুরোধের জন্য অপেক্ষা করছি।