Cruthaigh do bhalla dóiteáin féin le iptables ag baint úsáide as an script shimplí seo cuid 2

Firewall_ (líonrú)

Dia duit gach duine, inniu tugaim an dara cuid den tsraith seo de ranganna teagaisc duit ar bhalla dóiteáin le iptables, an-simplí ionas gur féidir leat a chóipeáil agus a ghreamú, sílim gurb é deireadh an lae an rud a bhíonn á lorg ag gach tosaitheoir nó fiú an chuid is mó taithí agat, cén fáth go gcaithfimid an roth a athchruthú 100 uair, ceart?

An uair seo deirim leo iarracht a dhéanamh díriú ar an gcás an-sonrach maidir le cibé an dteastaíonn uainn go mbeadh ár mballa dóiteáin i bhfad níos ionsaithí le beartas DROP AMACH. Tá an post seo ar iarratas ó léitheoir an leathanaigh seo agus mo phost freisin. (Taobh istigh de m’intinn wiiiiiiiiiiiii)

Labhraimís beagán faoi na “buntáistí agus na míbhuntáistí” a bhaineann le beartais Buail Aschuir a bhunú, an ceann is féidir liom a rá leat go príomha ná go ndéanann sé an post i bhfad níos tedious agus labious, ach is é an pro ná go mbeidh tú ag leibhéal an líonra slándáil ná má shuigh tú síos Chun smaoineamh, dearadh agus pleanáil na mbeartas go maith, beidh freastalaí i bhfad níos sábháilte agat.

D’fhonn gan dul ag crith nó éirí as an ábhar, táim chun míniú a thabhairt duit go tapa le sampla faoin gcaoi ar chóir go mbeadh do rialacha níos mó nó níos lú

iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state BUNAITHE -j ACCEPT
-A toisc gur chuireamar an riail leis
-o tagraíonn sé do thrácht amach, ansin cuirtear an comhéadan mura sonraítear é toisc go bhfuil sé comhoiriúnach le gach ceann acu.
-sport calafort tionscnaimh, tá ról tábhachtach aige mar i bhformhór na gcásanna níl a fhios againn cén calafort a ndéanfaidh siad an iarraidh, más ea, d’fhéadfaimis dport a úsáid
- Tuairisc calafort cinn scríbe, nuair a bhíonn a fhios againn go sonrach roimh ré nach mór don nasc atá ag dul amach dul chuig calafort ar leith. Caithfidh sé a bheith le haghaidh rud an-sonrach cosúil le freastalaí iargúlta mysql mar shampla.
-m stáit - BUNSCOILE Is maisiú é seo cheana féin ar na naisc atá bunaithe cheana a chothabháil, d’fhéadfaimis iniúchadh a dhéanamh air i bpost sa todhchaí
-d labhairt faoi cheann scríbe, dá bhféadfaí é a shonrú, mar shampla ssh le meaisín ar leith trína ip

#!/bin/bash

# Glanaimid táblaí iptables -F iptables -X # Glanaimid NAT iptables -t nat -F iptables -t nat -X # tábla mangle le haghaidh rudaí mar PPPoE, PPP, agus ATM iptables -t mangle -F iptables -t mangle -X # Polasaithe Sílim gurb é seo an bealach is fearr do thosaitheoirí agus # nach bhfuil go dona fós, míneoidh mé aschur go léir toisc gur naisc iad atá ag dul as oifig #, ionchur déanaimid gach rud a scriosadh, agus níor cheart aon fhreastalaí a chur ar aghaidh. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN inlíon = eth0 #Extranet wan extranet = eth1 # Coinnigh stáit. Gach rud atá ceangailte (bunaithe) cheana féin fágaimid mar seo iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A OUTPUT -m state --state BUNAITHE, GAOLMHARA -j ACCEPT
# Gléas lúb. iptables -A INPUT -i lo -j ACCEPT
# Aschur loopback Iptables -A OUTPUT -o lo -j ACCEPT

# http, https, ní shonraímid an comhéadan mar gheall # go dteastaíonn uainn go mbeadh sé iptables uile -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# imeacht
# http, https, ní shonraímid an comhéadan mar gheall
# ba mhaith linn go mbeadh sé ann do chách ach má shonraímid an calafort aschuir
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# ssh amháin go hinmheánach agus ón raon seo de iptables ip -A INPUT -p tcp -s 192.168.xx / 24 -i $ inlíon --dport 7659 -j ACCEPT
# aschur # ssh go hinmheánach amháin agus ón raon seo ip
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ inlíon --sport 7659 -j ACCEPT
# monatóireacht mar shampla má tá zabbix nó iptables seirbhíse snmp éigin eile acu - INPUT -p tcp -s 192.168.1.1 -i $ inlíon --dport 10050 -j ACCEPT
# imeacht
# monatóireacht mar shampla má tá zabbix nó seirbhís snmp éigin eile acu
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ inlíon --dport 10050 -j ACCEPT

# icmp, is maith an rud é do chinneadh iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ inlíon -j ACCEPT
# imeacht
# icmp, is maith an cinneadh é
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ inlíon -j ACCEPT

Is é #mysql le postgres port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ inlíon -j ACCEPT
# aschur - ceist a chuireann úsáideoir freisin ar fhreastalaí # riail an-sonrach a dhéanamh: 192.168.1.2 mysql: 192.168.1.3
Is é #mysql le postgres port 5432
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ inlíon -j ACCEPT

#sendmail bueeeh más mian leat roinnt ríomhphoist a sheoladh #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # freastalaí IP - an fíor wan ip de do fhreastalaí LAN_RANGE = "192.168.xx / 21" # LAN raon de do líonra nó do vlan # IP nár cheart dul isteach san eislíon riamh, tá sé le beagán # loighic a úsáid má tá comhéadan WAN amháin againn, níor cheart go ndéanfadh sé riamh cuir isteach # trácht LAN cineál tríd an gcomhéadan sin SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Gníomh réamhshocraithe - le déanamh nuair a bheidh riail ar bith comhoiriúnach le ACTION = "DROP" # Paicéid leis an ip céanna le mo fhreastalaí trí na wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION

# Paicéid leis an Raon LAN don wan, cuirim mar seo é ar eagla go mbeadh # aon líonra ar leith agat, ach tá sé seo iomarcach leis an riail # seo a leanas taobh istigh den iptables lúb “for” -A INPUT -i $ extranet -s $ LAN_RANGE -j $ GNÍOMH
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION

## Déanann gach Líonra SPOOF nach gceadaíonn an wan do ip i $ SPOOF_IPS iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
déanta

Sa chéad athbhreithniú eile déanfaimid raon calafoirt agus bunóimid beartais arna n-eagrú de réir ainmneacha, i measc rudaí eile ... Táim ag fanacht le do chuid tuairimí agus iarratais.


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

Bí ar an chéad trácht

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.