Saluton al ĉiuj, hodiaŭ mi alportas al vi duan parton de ĉi tiu serio de lerniloj sur fajroŝirmilo kun iptables, tre simpla por ke vi povu kopii kaj alglui, mi pensas, ke fine de la tago estas tio, kion ĉiuj komencantoj serĉas aŭ eĉ plej sperta, kial ni devas reinventi la radon 100 fojojn, ĉu ne?
Ĉi-foje mi diras al ili, ke ili provu fokusiĝi al la tre specifa kazo, ĉu ni volas, ke nia fajroŝirmilo estu multe pli agresema per politiko pri ELPAGO-GUTO. Ĉi tiu afiŝo estas ankaŭ laŭ peto de leganto de ĉi tiu paĝo kaj mia afiŝo. (En mia menso Wiiiiiiiiiiiiii)
Ni iomete parolu pri la "avantaĝoj kaj malavantaĝoj" establi politikojn pri Ellasa Falo, pri kio mi povas diri al vi, ke ĝi igas la laboron multe pli teda kaj peniga, tamen la avantaĝo estas, ke ĉe la nivelo de reto vi havos sekurecon. ol se vi sidiĝus Por bone pensi, desegni kaj plani la politikojn, vi havos multe pli sekuran servilon.
Por ne vagi aŭ eliri de temo, mi rapide klarigos al vi per ekzemplo, kiel pli-malpli viaj reguloj devas esti
iptables -A ELITO -o eth0 -p tcp –sport 80 -m ŝtato – ŝtato ESTABLISHED -j ACCEPT
-A ĉar ni aldonis la regulon
-o rilatas al forira trafiko, tiam la interfaco estas metita se ne specifita ĉar ĝi kongruas kun ĉiuj.
-sporto haveno de origino, ludas gravan rolon ĉar plejofte ni ne scias de kiu haveno ili faros la peton, se jes ni povus uzi dport
–Dporto celloka haveno, kiam ni specife anticipe scias, ke la eksiĝanta konekto devas iri nur al specifa haveno. Ĝi devas esti por io tre specifa kiel fora mysql-servilo ekzemple.
-m ŝtato – ŝtato STABELITA Ĉi tio jam estas ornamaĵo por konservi la jam establitajn rilatojn, ni povus profundigi ĝin en estonta afiŝo
-d paroli pri celloko, se ĝi povus esti specifita, ekzemple ssh al specifa maŝino per ĝia ip
#!/bin/bash
#We clean iptables tables -F iptables -X # We clean NAT iptables -t nat -F iptables -t nat -X # mangle table for things like PPPoE, PPP, and ATM iptables -t mangle -F iptables -t mangle -X # Politikoj Mi pensas, ke ĉi tio estas la plej bona maniero por komencantoj kaj # ankoraŭ ne malbone, mi klarigos eliron (eligo) ĉio ĉar ili estas eksiĝintaj ligoj #, enigo ni forĵetas ĉion, kaj neniu servilo devas plusendi. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Keep state. Ĉion, kio jam estas konektita (establita), ni lasas ĝin tiel iptables -A INPUT -m stato --state STABILITA, RILATA -j AKCEPTO
iptables -A OUTPUT -m state --state STARED, RELATED -j ACCEPT
# Bukla aparato. iptables -A ENPUT -i lo -j ACCEPT
# Iptables loopback output -A OUTPUT -o lo -j ACCEPT
# http, https, ni ne specifas la interfacon ĉar # ni volas, ke ĝi estu ĉiuj iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# foriro
# http, https, ni ne specifas la interfacon ĉar
# ni volas, ke ĝi estu por ĉiuj, sed se ni specifas la elirhavenon
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
# ssh nur interne kaj de ĉi tiu gamo de iptables de ip -A INPUT -p tcp -s 192.168.xx / 24 -i $ intrareto --dport 7659 -j AKCEPTI
# eligo # ssh nur interne kaj de ĉi tiu gamo de IP-oj
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ACCEPT
# monitorado ekzemple se ili havas zabbix aŭ iun alian snmp-servan iptables -A INPUT -p tcp -s 192.168.1.1 -i $ intrareto --dport 10050 -j ACCEPT
# foriro
# kontrolado ekzemple se ili havas zabbix aŭ iun alian snmp-servon
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intrareto --dport 10050 -j ACCEPT
# icmp, ping bona estas via decido iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# foriro
# icmp, ping bona estas via decido
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPT
#mysql kun postgres estas haveno 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# eligo - demando ankaŭ farita de uzanto por krei tre specifan # regulan servilon: 192.168.1.2 mysql: 192.168.1.3
#mysql kun postgres estas la haveno 5432
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intrareto -j AKCEPTU
#sendmail bueeeh se vi volas sendi iom da poŝto #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - the real wan ip de via LAN_RANGE-servilo = "192.168.xx / 21" # LAN-gamo de via reto aŭ viaj vlan # IP-oj, kiuj neniam devas eniri la retreto, ĝi estas uzi iom da # logiko se ni havas pure WAN-interfacon, ĝi neniam devas enigu # trafikan LAN-tipon per tiu interfaco SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Defaŭlta ago - plenumota kiam iu regulo kongruas kun AGO = "DROP" # Pakaĵoj kun la sama ip kiel mia servilo per la malplenaj iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A ELITO -o $ extranet -s $ SERVER_IP -j $ AGO
# Pakaĵoj kun la LAN-Areo por la malforta, mi diras ĝin tiel, se vi havas # iun apartan reton, sed ĉi tio estas superflua kun la sekva # regulo ene de la "por" buklo iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ AGO
iptables -A ELITO -o $ extranet -s $ LAN_RANGE -j $ ACTION
## Ĉiuj SPOOF-Retoj ne permesataj de la malforta por ip en $ SPOOF_IPS faras iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A ELITO -o $ extranet -s $ ip -j $ AGO
faritaEn la sekva recenzo ni faros havenan gamon kaj ankaŭ starigos politikojn organizitajn laŭ nomoj, interalie ... Mi atendas viajn komentojn kaj petojn.
Estu la unua por komenti