Proveo sam neko vrijeme razmišljajući o dvije stvari u vezi sa ovom iptables stvari: većina onih koji traže ove tutorijale su početnici i drugo, mnogi već traže nešto prilično jednostavno i već razrađeno.
Ovaj primjer je za web server, ali lako možete dodati još pravila i prilagoditi ih svojim potrebama.
Kada vidite "x" promijenite svoje IP adrese
#!/bin/bash
#Čistimo iptables tablice -F iptables -X # Čistimo NAT iptables -t nat -F iptables -t nat -X # mangle tablicu za stvari kao što su PPPoE, PPP i ATM iptables -t mangle -F iptables -t mangle -X # Politika Mislim da je ovo najbolji način za početnike i # i dalje nije loš, objašnjavam sve izlazne veze jer su to # odlazne konekcije, unos odbacujemo sve, i nijedan server ne bi trebao raditi naprijed. iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P PROSLJEDITI DROP #Intranet LAN intranet=eth0 #Extranet wan extranet=eth1 # Zadrži stanje. Sve što je već povezano (uspostavljeno) ostavlja se ovako: iptables -A INPUT -m stanje --state ESTABLISHED,RELATED -j ACCEPT # Loop uređaj. iptables -A INPUT -i lo -j PRIHVATI # http, https, ne specificiramo interfejs jer # želimo da bude za sve iptables -A INPUT -p tcp --dport 80 -j PRIHVATI iptables -A INPUT -p tcp -- dport 443 -j PRIHVATI # ssh samo interno i iz ovog opsega iptables IP-a -A INPUT -p tcp -s 192.168.xx/24 -i $intranet --dport 7659 -j PRIHVATI # nadgledanje na primjer ako imaju zabbix ili nešto drugo snmp servis iptables -A INPUT -p tcp -s 192.168.xx/24 -i $intranet --dport 10050 -j PRIHVATI # icmp, ping pa to je tvoja odluka iptables -A INPUT -p icmp -s 192.168. xx/24 - i $intranet -j PRIHVATI #mysql sa postgres je port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $intranet -j PRIHVATI #sendmail bueeeh ako želite poslati neku poštu #iptables -A OUTPUT -p tcp --dport 25 -j PRIHVATI #Anti-SPOOFING 09. # SERVER_IP="07.xxx" # IP servera - pravi wan IP vašeg servera LAN_RANGE="2014.xx/ 190" # LAN opseg vaše mreže ili vaše vlan # IP adrese koje nikada ne bi trebale ulaziti preko ekstraneta, treba koristiti malo # logike ako imamo čisto WAN sučelje nikada ne bi trebalo ulaziti u promet # LAN tipa preko tog interfejsa SPOOF_IPS=" 192.168/21 0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12" # Podrazumevana radnja - koja će se izvršiti kada uskladim bilo koje pravilo ACTION="DROP" # Paketi sa istim IP-om mog servera za wan iptables -A INPUT -i $extranet -s $SERVER_IP -j $ACTION #iptables -A OUTPUT -o $extranet -s $SERVER_IP -j $ACTION # Paketi sa LAN opsegom kroz wan, ja postavite to ovako u slučaju da imate # određenu mrežu, ali ovo je suvišno sa sljedećim # pravilom unutar "for" petlje iptables -A INPUT -i $extranet -s $LAN_RANGE -j $ACTION iptables -A IZLAZ -o $extranet -s $LAN_RANGE -j $ACTION ## Sve SPOOF mreže nisu dozvoljene od strane wan za ip u $SPOOF_IPS rade iptables -A INPUT -i $extranet -s $ip -j $ACTION iptables -A OUTPUT -o $extranet -s $ip -j $ AKCIJA obavljena
Kao i uvijek, radujem se vašim komentarima, ostanite sa nama na ovom blogu, hvala