Crea u vostru firewall cù iptables aduprendu questu script simplice parte 2

Firewall_ (rete)

Salutu à tutti, oghje vi portu una seconda parte di sta seria di tutoriali nantu à u firewall cù iptables, assai semplice per pudè copià è incollà, pensu chì à a fine di a ghjurnata hè ciò chì tutti i principianti cercanu o ancu i più sperimentati, perchè duvemu reinventà a rota 100 volte, nò?

Sta volta li dicu di pruvà à cuncintrà si nantu à u casu assai specificu di se vulemu chì u nostru firewall sia assai più aggressivu cù una pulitica OUTPUT DROP. Questu post hè ancu à a dumanda di un lettore di queste pagine è di i mo messaghji. (In a mo mente wiiiiiiiiiiiii)

Parlemu un pocu di i "pro è i contra" di stabilisce e pulitiche di Output Drop, quellu contru à u quale vi possu dì principalmente hè chì face u travagliu assai più tediosu è laboriosu, tuttavia u prufessiunale hè chì à livellu di a rete averete sicurezza chì se site sedutu Per pensà, cuncepisce è pianificà bè e pulitiche, averete un servitore assai più sicuru.

Per ùn rambellà o scendere di u sughjettu, vi spiegheraghju rapidamente cun un esempiu cumu duveranu esse più o menu e vostre regule

iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state STABILIZZATO -j ACCETTA
-A perchè avemu aghjustatu a regula
-o si riferisce à u trafficu di partenza, allora l'interfaccia hè piazzata s'ellu ùn hè micca specificata perchè currisponde à tutti.
-sport portu d'urigine, ghjoca un rolu impurtante perchè in a maiò parte di i casi ùn sapemu micca da chì portu anu da fà a dumanda, sì sì pudemu aduprà dport
–Dportu portu di destinazione, quandu sapemu specificamente in anticipu chì a cunnessione in uscita deve andà solu in un portu specificu. Deve esse per qualcosa assai specificu cum'è un servitore mysql remoto per esempiu.
-m state –state STABILITU Questu hè digià un ornamentu per mantene e cunnessioni dighjà stabilite, puderiamu apprufundirci in un postu futuru
-d per parlà di destinazione, se puderia esse specificatu, per esempiu ssh à una macchina specifica da a so ip

#!/bin/bash

#Clean iptables tables -F iptables -X #Clean NAT iptables -t nat -F iptables -t nat -X # mangle table for things like PPPoE, PPP, and ATM iptables -t mangle -F iptables -t mangle -X # Policies Pensu chì questu hè u megliu modu per i principianti è # ancu micca male, vi spiegheraghju l'output (output) tuttu perchè sò cunnessioni in uscita #, input noi scartemu tuttu, è nisun servitore deve trasmette. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Keep state. Tuttu ciò chì hè dighjà cunnessu (stabilitu) l'abbandunemu cusì iptables -A INPUT -m state --state STABILITU, RELATED -j ACCEPT
iptables -A OUTPUT -m state --state STABILITU, RELATED -j ACCEPT
# Dispositivu in ciclu. iptables -A INPUT -i lo -j ACCETTA
# Iptables loopback output -A OUTPUT -o lo -j ACCEPT

# http, https, ùn specificemu micca l'interfaccia perchè # vulemu chì sia tutti iptables -A INPUT -p tcp --dport 80 -j ACCEPTA iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# partenza
# http, https, ùn specificemu micca l'interfaccia perchè
# vulemu chì sia per tutti, ma se specificemu u portu di uscita
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# ssh solu internamente è da questa gamma di iptables di ip -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT
# output # ssh solu internamente è da questa gamma di ip's
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ACCEPT
# monitorizazione per esempiu si anu zabbix o qualchì altru serviziu snmp iptables -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j ACCEPT
# partenza
# surviglianza per esempiu s'elli anu zabbix o qualchì altru serviziu snmp
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j ACCEPT

# icmp, ping hè bona a vostra decisione iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPTA
# partenza
# icmp, ping bona hè a vostra decisione
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPTA

#mysql cù postgres hè u portu 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# output - quistione dumandata ancu da un utilizatore per fà un servitore # regula assai specificu: 192.168.1.2 mysql: 192.168.1.3
#mysql cù postgres hè u portu 5432
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j ACCEPT

#sendmail bueeeh se vulete mandà qualchì mail #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - u veru IP wan di u vostru LAN_RANGE server = "192.168.xx / 21" # LAN range of your network or your vlan # IP's that should never enter in the extranet, it is to use a bit of # logic if we have a puramente WAN interface, it should never enter # traffic Tipu LAN attraversu quella interfaccia SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Azione predefinita - da esse realizata quandu una regula currisponde à ACTION = " DROP "# Paquets cù a stessa ip cum'è u mo servitore attraversu i wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION

# Pacchetti cù u Range LAN per u wan, l'aghju messu cusì in casu avete # una rete particulare, ma questu hè ridondante cù a seguente # regula in u loop per "per" iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ AZIONE
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION

## Tutte e Rete SPOOF micca permesse da u wan per ip in $ SPOOF_IPS do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
fattu

In a prossima rivisione faremu a gamma di porti è stabilisceremu ancu pulitiche urganizate per nomi, frà altru ... Aspettu i vostri cummenti è richieste.


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.

bool (veru)