با استفاده از این بخش 2 اسکریپت فایروال خود را با iptables ایجاد کنید

فایروال_ (شبکه)

سلام به همه ، امروز برای شما قسمت دوم این سری از آموزش های مربوط به فایروال با iptables را آورده ام ، بسیار ساده برای اینکه بتوانید کپی و پیست کنید ، فکر می کنم در پایان روز همان چیزی است که همه مبتدیان به دنبال آن هستند یا حتی باتجربه ترین ، چرا ما باید چرخ را 100 بار دوباره اختراع کنیم ، درست است؟

این بار به آنها می گویم که سعی کنند روی مورد بسیار خاصی تمرکز کنند که آیا ما می خواهیم فایروال ما با سیاست OUTPUT DROP بسیار تهاجمی باشد. این پست نیز به درخواست خواننده این صفحه و پست من است. (درون ذهن من wiiiiiiiiiiiiiii)

بیایید کمی در مورد "موافقان و مخالفان" ایجاد سیاست های Output Drop صحبت کنیم ، موردی که می توانم به شما بگویم این است که کار را بسیار خسته کننده و طاقت فرسا می کند ، با این حال مسئله مثبت این است که در سطح شبکه شما امنیت بیشتری نسبت به نشستن دارید برای خوب اندیشیدن ، طراحی و برنامه ریزی ، سرور بسیار امن تری خواهید داشت.

برای اینکه سر و صدا نکنم و از موضوع خارج نشوم ، قصد دارم به سرعت با یک مثال برای شما توضیح دهم که قوانین شما کم و بیش باید باشد

iptables -A OUTPUT -o eth0 -p tcp -sport 80 -m state -state ESTABLISHED -j ACCEPT
-A چون قانون را اضافه کردیم
-o به ترافیک خروجی اشاره دارد ، سپس رابط اگر مشخص نشده باشد قرار می گیرد زیرا با همه مطابقت دارد.
-ورزش بندر مبدا ، نقش مهمی دارد زیرا در بیشتر موارد ما نمی دانیم که آنها از کدام بندر درخواست می کنند ، در این صورت می توانیم از dport استفاده کنیم
–دپورت بندر مقصد ، هنگامی که ما به طور خاص از قبل می دانیم که اتصال خروجی فقط باید به یک پورت خاص برود. این باید برای موارد بسیار خاصی مانند سرور mysql از راه دور باشد.
دولت -M تأسیس شده است این در حال حاضر زینت حفظ ارتباطات از قبل برقرار شده است ، ما می توانیم در یک پست بعدی به آن بپردازیم
-d اگر می توان از مقصد صحبت کرد ، مثلاً ssh برای یک ماشین خاص توسط ip آن

#!/bin/bash

# ما جداول iptables را تمیز می کنیم -F iptables -X # ما iptables NAT را تمیز می کنیم -t nat -F iptables -t nat -X # جدول مانگل را برای مواردی مانند PPPoE ، PPP و iptables ATM -t mangle -F iptables -t mangle -X # Policy من فکر می کنم این بهترین راه برای مبتدیان است و # هنوز هم بد نیست ، من خروجی (خروجی) را همه توضیح می دهم زیرا آنها اتصالات خروجی هستند ، ورودی ما همه چیز را کنار می گذاریم ، و هیچ سروری نباید فوروارد کند. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # حالت را حفظ کنید. همه آنچه که قبلاً متصل شده است (ثابت شده است) ما آن را مانند این iptables -A INPUT -m state - state ESTABLISHED، RELATED -j ACCEPT ترک می کنیم
iptables -A OUTPUT -m state --state ESTABLISHED، RELATED -j ACCEPT
# دستگاه حلقه iptables -A INPUT -i lo -j ACCEPT
# Iptables خروجی loopback -A OUTPUT -o lo -j ACCEPT

# http ، https ، ما رابط کاربری را مشخص نمی کنیم زیرا # می خواهیم این همه iptables باشد - یک ورودی - p tcp - صادرات 80 - ج پذیرش iptables - ورودی - p tcp - صادرات 443 - j پذیرش
# عزیمت، خروج
# http ، https ، ما رابط کاربری را مشخص نمی کنیم زیرا
# ما می خواهیم برای همه باشد اما اگر پورت خروجی را مشخص کنیم
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# ssh فقط به صورت داخلی و از این طیف قابل دسترسی ip -A INPUT -p tcp -s 192.168.xx / 24 -i $ اینترانت --dport 7659 -j ACCEPT
# خروجی # ssh فقط به صورت داخلی و از این طیف IP
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ACCEPT
# نظارت به عنوان مثال اگر آنها دارای zabbix یا برخی دیگر از خدمات snpt iptables -A INPUT -p tcp -s 192.168.1.1 -i $ اینترانت --dport 10050 -j ACCEPT
# عزیمت، خروج
# نظارت برای مثال اگر دارای zabbix یا سرویس snmp دیگری باشند
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ اینترانت --dport 10050 -j ACCEPT

# icmp ، ping خوب تصمیم شما است iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# عزیمت، خروج
# icmp ، پینگ خوب تصمیم شما است
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPT

#mysql با postgres پورت 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# خروجی - سوالی که کاربر برای ایجاد یک سرور بسیار خاص # قاعده نیز از او پرسیده شده است: 192.168.1.2 mysql: 192.168.1.3
#mysql با postgres پورت 5432 است
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j ACCEPT

اگر می خواهید نامه ای ارسال کنید #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # IP سرور - IP واقعی سرور - # ارسال پست الکترونیکی bueeeh. سرور LAN_RANGE = "192.168.xx / 21" # محدوده LAN شبکه یا vlan # IP شما که هرگز نباید وارد اکسترانت شود ، استفاده از کمی منطق است اگر یک رابط WAN کاملاً داشته باشیم ، هرگز نباید وارد # ترافیک شود نوع LAN از طریق آن رابط SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # عملکرد پیش فرض - در صورت مطابقت هر قانون با ACTION انجام می شود = " قطره "# بسته هایی با همان IP سرور من از طریق iptables wan -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION

# بسته با دامنه LAN برای wan ، من این را در صورتی قرار می دهم که شما # شبکه خاصی داشته باشید ، اما این با قانون # زیر در داخل iptables حلقه "for" -A INPUT -i $ extranet -s $ LAN_RANGE -j زائد است $ ACTION
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION

## همه شبکه های SPOOF توسط ip در $ SPOOF_IPS مجاز نیستند iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
انجام شده

در بررسی بعدی ، ما محدوده بندر را انجام خواهیم داد و همچنین سیاستهایی را که با نامها تنظیم شده اند ، از جمله موارد دیگر ... من منتظر نظرات و درخواستهای شما هستم.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.