Tere kõigile, täna toon teile selle iptablesiga tulemüüri õpetuste sarja teise osa, mis on väga lihtne, et saaksite neid kopeerida ja kleepida. Ma arvan, et päeva lõpuks otsivad seda kõik algajad või isegi kõige kogenumad, miks me peame ratta 100 korda uuesti leiutama, eks?
Seekord ütlen neile, et proovige keskenduda väga konkreetsele juhtumile, kas me tahame, et meie tulemüür oleks OUTPUT DROP-poliitika korral palju agressiivsem. See postitus on ka nende lehtede ja minu postituste lugeja soovil. (Minu meelest wiiiiiiiiiiiii)
Räägime veidi väljundi langemise poliitika kehtestamise "plussidest ja miinustest", mille vastu võin teile peamiselt öelda, et see muudab töö palju tüütumaks ja töömahukamaks, kuid pro on see, et võrgu tasandil on teil turvalisus kui istudes maha Poliitikate läbimõtlemiseks, kujundamiseks ja kavandamiseks on teil palju turvalisem server.
Selleks, et teemat mitte segamini ajada ega lahti saada, selgitan näitega kiiresti, kuidas teie reeglid peaksid olema enam-vähem
iptables -A VÄLJUND -o eth0 -p tcp –sport 80 -m olek –riik LÕPPETUD -j VÕTTA
-A kuna lisasime reegli
-o viitab väljaminevale liiklusele, siis liides paigutatakse, kui see pole täpsustatud, kuna see vastab kõigile neile.
-Sport päritolusadam, mängib olulist rolli, sest enamasti ei tea me, millisest sadamast nad päringu esitavad, kui saaksime kasutada
–Dport sihtsadamasse, kui teame konkreetselt ette, et väljuv ühendus peab minema ainult konkreetsesse sadamasse. See peab olema millegi väga täpse jaoks, näiteks kaugsysql-serveri jaoks.
-m osariik –OSAKESTATUD See on juba ehitud seoste säilitamise ehe, võiksime sellesse süveneda tulevases postituses
-d rääkima sihtkohast, kui seda saab määrata, näiteks ssh konkreetsele masinale selle ip abil
#!/bin/bash
#Puhastame iptablesi tabeleid -F iptables -X # Puhastame NAT iptables -t nat -F iptables -t nat -X # mangle tabelit näiteks PPPoE, PPP ja ATM iptables -t mangle -F iptables -t mangle -X # Policy Ma arvan, et see on parim viis algajatele ja # pole ikka veel halb. Selgitan väljundi kõik välja, kuna nad on väljuvad ühendused #, sisend loobume kõigest ja ükski server ei tohiks edastada. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN sisevõrk = eth0 #Extranet wan extranet = eth1 # Hoidke olekut. Kõik, mis on juba ühendatud (loodud), jätame selle järgmiselt: iptables -A INPUT -m state - state LOETUD, SEOTUD -j ACCEPT
iptables -A VÄLJUND -m olek - riik MÄÄRATUD, SEOTUD -j VASTU
# Loop-seade. iptables -A SISEND -i lo -j VASTU
# Iptablesi tagasisideväljund -A VÄLJUND -o lo -j ACCEPT
# http, https, me ei määra liidest, sest # me tahame, et see oleks kõik iptables -A INPUT -p tcp --port 80 -j ACCEPT iptables -A INPUT -p tcp --port 443 -j ACCEPT
# lahkumine
# http, https, me ei määra liidest, sest
# me tahame, et see oleks kõigile, kuid kui määrame väljundi pordi
iptables -A VÄLJUND -p tcp - sport 80 -j AKSEPTI iptables -A VÄLJU -p tcp --sport 443 -j ACCEPT
# ssh ainult sisemiselt ja sellest ip-i iptable-vahemikust -A INPUT -p tcp -s 192.168.xx / 24 -i $ sisevõrk --port 7659 -j ACCEPT
# väljund # ssh ainult sisemiselt ja sellest ip-de vahemikust
iptables -A VÄLJUND -p tcp -d 192.168.xx / 24 -o $ sisevõrk --port 7659 -j ACCEPT
# jälgimine, näiteks kui neil on zabbix või mõni muu snmp-teenuse iptables -A INPUT -p tcp -s 192.168.1.1 -i $ sisevõrk --port 10050 -j ACCEPT
# lahkumine
# jälgimine, näiteks kui neil on zabbix või mõni muu snmp-teenus
iptables -A VÄLJUND -p tcp -d 192.168.1.1 -o $ sisevõrk --port 10050 -j ACCEPT
# icmp, ping hea on teie otsus iptables -A SISEND -p icmp -s 192.168.xx / 24 -i $ sisevõrk -j ACCEPT
# lahkumine
# icmp, ping hea on teie otsus
iptables -A VÄLJU -p icmp -d 192.168.xx / 24 -o $ sisevõrk -j ACCEPT
#mysql postgresiga on port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# väljund - küsimus, mille kasutaja esitas ka väga konkreetse reegliserveri loomiseks: 192.168.1.2 mysql: 192.168.1.3
#mysql postgresiga on port 5432
iptables -A VÄLJUND -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ sisevõrk -j ACCEPT
#sendmail bueeeh, kui soovite mõnda e-kirja saata #iptables -A VÄLJUND -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09 # SERVER_IP = "07.xxx" # serveri IP - teie tõeline wan ip LAN_RANGE server = "2014.xx / 190" # Teie võrgu või teie vlan # IP-de vahemik, mis ei tohiks kunagi siseneda ekstranetti, see on kasutada natuke # loogikat, kui meil on puhtalt WAN-liides, see ei tohiks kunagi sisestada # liiklust LAN-i tüüp selle liidese kaudu SPOOF_IPS = "192.168/21 0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12" # Vaiketoiming - sooritatakse, kui mis tahes reegel vastab ACTION = " DROP "# minu serveriga sama ip-ga paketid läbi wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A VÄLJUND -o $ ekstranet -s $ SERVER_IP -j $ ACTION
# WAN-i jaoks mõeldud LAN-i vahemikuga paketid, ma panen selle niimoodi, kui teil on # mõnda konkreetset võrku, kuid see on üleliigne järgmise # reegli abil "for" silmuse iptables -A SISEND -i $ extranet -s $ LAN_RANGE -j $ ACTION
iptables -A VÄLJUND -o $ ekstranet -s $ LAN_RANGE -j $ ACTION
## Kõiki SPOOF-i võrke ei võimalda ip ip-s $ SPOOF_IPS do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A VÄLJUND -o $ ekstranet -s $ ip -j $ ACTION
tehtudJärgmises ülevaates teeme sadamavahemiku ja kehtestame muu hulgas ka nimede järgi korraldatud poliitikad ... Ootan teie kommentaare ja taotlusi.