Mõtlesin mõnda aega kahele asjale, mis puudutavad iptablesi: enamik neist, kes neid õpetusi otsivad, on algajad ja teiseks otsivad paljud juba midagi üsna lihtsat ja juba välja töötatud.
See näide on mõeldud veebiserveri jaoks, kuid saate hõlpsalt lisada rohkem reegleid ja kohandada seda vastavalt oma vajadustele.
Kui näete oma ip-de jaoks "x" muutust
#!/bin/bash
# Puhastame iptablesi tabeleid -F iptables -X # Puhastame NAT iptables -t nat -F iptables -t nat -X # mangle tabelit näiteks PPPoE, PPP ja ATM iptables -t mangle -F iptables -t mangle -X # Poliitikad Ma arvan, et see on parim viis algajatele ja # pole ikka veel halb, ma selgitan väljundit (väljundit), sest nad on väljuvad ühendused #, sisend loobume kõigest ja ükski server ei tohiks edastada. iptables -P INPUT DROP iptables -P VÄLJUND VÕTAKE vastu iptables -P FORWARD DROP #Intraneti LAN-sisevõrk = eth0 #Extranet wan-ekstranet = eth1 # Hoidke olekut. Kõik, mis on juba ühendatud (loodud), jääb nii: iptables -A INPUT -m state - state ESTABLISHED, RELATED -j ACCEPT # Loop device. iptables -A INPUT -i lo -j ACCEPT # http, https, me ei määra liidest, sest # me tahame, et see oleks kõigi iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh ainult sisemiselt ja sellest ip-i iptablettide vahemikust -A INPUT -p tcp -s 192.168.xx / 24 -i $ sisevõrk --port 7659 -j ACCEPT # seire näiteks juhul, kui neil on zabbix või mõni muu snmp-teenuse iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --port 10050 -j ACCEPT # icmp, pingige, see on teie otsustada iptables -A INPUT -p icmp -s 192.168. xx / 24 - i $ intranet -j ACCEPT #mysql postgresiga on port 5432 iptables -A INPUT -p tcp -s 192.168.xx --port 3306 -i $ intranet -j ACCEPT #sendmail bueeeh, kui soovite mõnda kirja saata #iptables -A VÄLJU -p tcp --port 25 -j VASTU # SPOOFINGU VÄHENDAMINE 09 # SERVER_IP = "07.xxx" # serveri IP - teie serveri päris wan ip LAN_RANGE = "2014.xx / 190 "# teie võrgu LAN-i vahemik või vlan # IP-d, mis ei tohiks kunagi siseneda ekstranetti,on kasutada natuke # loogikat, kui meil on puhtalt WAN-liides, see ei tohiks kunagi selle liidese kaudu sisestada # LAN-tüüpi liiklust SPOOF_IPS = "192.168/21 0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0 .12 / 192.168.0.0 "# Vaiketoiming - sooritatakse siis, kui mis tahes reegel vastab ACTION =" DROP "# Paketid minu serveri sama ip-ga läbi wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A VÄLJUND -o $ extranet -s $ SERVER_IP -j $ ACTION # Paketid, mille LAN-vahemik on langenud, panin selle niimoodi, kui teil on # mõnda konkreetset võrku, kuid see on üleliigne, kuna järgmine # reegel on sees silmus "jaoks" iptables -A SISEND -i $ ekstranet -s $ LAN_RANGE -j $ ACTION iptables -A VÄLJUND -o $ extranet -s $ LAN_RANGE -j $ ACTION ## Kõiki SPOOF-i võrke pole wan ip jaoks lubanud $ SPOOF_IPS teevad iptables -A SISEND -i $ ekstranet -s $ ip -j $ ACTION iptables -A VÄLJUND -o $ extranet -s $ ip -j $ ACTION valmis
Nagu alati, ootan teie kommentaare, olge siin blogis kursis, aitäh