બધાને નમસ્તે, આજે હું તમને iptables સાથે ફાયરવોલ પરના ટ્યુટોરિયલ્સની આ શ્રેણીનો બીજો ભાગ લાવ્યો છું, ખૂબ જ સરળ છે કે જેથી તમે ક andપિ અને પેસ્ટ કરી શકો, મને લાગે છે કે દિવસના અંતે તે જ છે જે બધા નવા નિશાળીયા જોઈએ છે અથવા તો સૌથી વધુ અનુભવી, શા માટે આપણે ચક્રને 100 વખત ફરીથી બનાવવું પડશે, ખરું?
આ વખતે હું તેમને કહું છું કે શું આપણે અમારા ફાયરવ anલને OUTPUT DROP નીતિથી વધુ આક્રમક બનાવવા માગીએ છીએ કે નહીં તેના ખૂબ જ વિશિષ્ટ કેસમાં ધ્યાન કેન્દ્રિત કરવાનો પ્રયાસ કરો. આ પોસ્ટ પણ આ પૃષ્ઠો અને મારી પોસ્ટ્સના વાચકની વિનંતી પર છે. (મારા મગજમાં વાઇઆઈઆઈઆઈઆઈઆઈઆઈઆઈઆઈઆઈઆઈ)
ચાલો આઉટપુટ ડ્રોપ નીતિઓની સ્થાપનાના "ગુણદોષ" વિશે થોડી વાત કરીએ, જેની વિરુદ્ધ હું તમને મુખ્યત્વે કહી શકું છું કે તે નોકરીને વધુ કંટાળાજનક અને કપરું બનાવે છે, જોકે તરફી એ છે કે નેટવર્ક સ્તરે તમારી પાસે સલામતી જો તમે બેઠા છો તેના કરતાં નીતિઓને સારી રીતે વિચારવા, ડિઝાઇન કરવા અને તેની યોજના કરવા માટે, તમારી પાસે વધુ સુરક્ષિત સર્વર હશે.
વિષય પર રેમ્બલ ન થવું અથવા ન ઉતરવા માટે, હું તમારા દાખલાને વધુ કે ઓછા હોવા જોઈએ તેના ઉદાહરણ સાથે ઝડપથી સમજાવવા જઈશ.
iptables -A OUTPUT -o eth0 -p tcp - 80 -m રાજ્યની સ્થાપના કરો ESTABLISHED -j ACCEPT
-A કારણ કે અમે નિયમ ઉમેર્યો છે
-o આઉટબાઉન્ડ ટ્રાફિકનો સંદર્ભ આપે છે, પછી ઇંટરફેસ જો તે સ્પષ્ટ થયેલ ન હોય તો મૂકવામાં આવે છે કારણ કે તે તે બધા સાથે બંધબેસે છે.
-સ્પોર્ટ મૂળ બંદર, એક મહત્વપૂર્ણ ભૂમિકા ભજવે છે કારણ કે મોટાભાગના કિસ્સાઓમાં આપણે જાણતા નથી કે તેઓ કયા બંદરમાંથી વિનંતી કરશે, જો આમ હોય તો આપણે ડેપોર્ટનો ઉપયોગ કરી શકીએ
-દીપોર્ટ ગંતવ્ય બંદર, જ્યારે આપણે વિશેષરૂપે જાણીએ છીએ કે આઉટગોઇંગ કનેક્શન ફક્ત કોઈ ચોક્કસ બંદર પર જવું આવશ્યક છે. તે ઉદાહરણ તરીકે રિમોટ માયએસક્યુએલ સર્વર જેવા ખૂબ જ નિયમિત કંઈક માટે હોવું જોઈએ.
-મી રાજ્ય સ્ટેટ ઇસ્ટાબલિશ્ડ પહેલેથી જ સ્થાપિત કનેક્શન્સને જાળવવાનું આ પહેલેથી જ શોભા છે, આપણે તેને ભવિષ્યની પોસ્ટમાં શોધી શકીએ
-d લક્ષ્યસ્થાનની વાત કરવા માટે, જો તે સ્પષ્ટ કરી શકાય, ઉદાહરણ તરીકે, તેના આઇ.પી. દ્વારા કોઈ ચોક્કસ મશીન પર એસ.એસ.એસ.
#!/bin/bash
# અમે iptables કોષ્ટકો -F iptables -X # સાફ કરીએ છીએ, PPPoE, PPP, અને ATM iptables -t માંગલ -F iptables-t માંગલ-X જેવી વસ્તુઓ માટે NAT iptables -t nat -F iptables -t nat -X # માંગલ ટેબલ સાફ કરીએ છીએ. # નીતિઓ મને લાગે છે કે શરૂઆત માટે આ શ્રેષ્ઠ રીત છે અને # હજી પણ ખરાબ નથી, હું આઉટપુટ બધાને સમજાવીશ કારણ કે તે આઉટગોઇંગ કનેક્શન્સ છે #, ઇનપુટ આપણે બધું કા discardી નાખીએ છીએ, અને કોઈ સર્વરે આગળ ન વધવું જોઈએ. iptables -P ઇનપુટ ડ્રROપ iptables -P Uપુટ ડ્ર Dપ iptables -P ફોરવર્ડ ડ્રોપ # ઇન્ટ્રેનેટ LAN ઇન્ટ્રાનેટ = eth0 #Extranet wan extranet = eth1 # રાજ્ય રાખો. પહેલેથી જ કનેક્ટેડ (સ્થાપિત) અમે તેને આ iptables ની જેમ છોડીએ છીએ - એક ઇનપુટ - રાજ્ય રાજ્ય - સ્ટેટ ESTABLISHED, સંબંધિત - J ACCEPT
iptables -A OUTPUT -m રાજ્ય - સ્ટેટ ESTABLISHED, સંબંધિત -j આવક
# લૂપ ડિવાઇસ. iptables -A INPUT -i lo -j ACCEPT
# આઇપ્ટેબલ્સ લૂપબ .ક આઉટપુટ -અઉપટ-લો લો -જે સ્વીકારો
# એચ.પી.ટી., https, અમે ઇન્ટરફેસને નિર્દિષ્ટ કરતા નથી કારણ કે # આપણે ઇચ્છીએ છીએ કે તે બધા iptables હોય -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# પ્રસ્થાન
# HTTP, https, અમે ઇન્ટરફેસને સ્પષ્ટ કરતું નથી કારણ કે
# આપણે ઇચ્છીએ છીએ કે તે બધા માટે જ હોય પરંતુ જો આપણે આઉટપુટ પોર્ટનો ઉલ્લેખ કરીએ
iptables -A OUTPUT -p tcp - 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
# ssh ફક્ત આંતરિક રીતે અને આઈપીએસની iptables ની આ શ્રેણીમાંથી- A INPUT -p tcp -s 192.168.xx / 24 -i $ ઇન્ટ્રાનેટ --dport 7659 -j ACCEPT
# આઉટપુટ # ssh ફક્ત આંતરિક રીતે અને IP ની આ શ્રેણીમાંથી
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ ઇન્ટ્રાનેટ --sport 7659 -j ACCEPT
# મોનિટરિંગ ઉદાહરણ તરીકે જો તેમની પાસે ઝબિબિક્સ અથવા કેટલીક અન્ય સ્નમ્પ સર્વિસ iptables -A INPUT -p tcp -s 192.168.1.1 -i $ ઇન્ટ્રાનેટ --dport 10050 -j ACCEPT
# પ્રસ્થાન
# મોનિટરિંગ ઉદાહરણ તરીકે જો તેમની પાસે ઝબિબિક્સ અથવા કેટલીક અન્ય સ્નમ્પ સેવા છે
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ ઇન્ટ્રાનેટ --dport 10050 -j ACCEPT
# આઈ.સી.એમ.પી., પીંગ ગુડ એ તમારો નિર્ણય છે iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ ઇન્ટ્રાનેટ -j ACCEPT
# પ્રસ્થાન
# આઈસીએમપી, પિંગ ગુડ એ તમારો નિર્ણય છે
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ ઇન્ટ્રાનેટ -j ACCEPT
પોસ્ટગ્રેસ સાથે #mysql એ પોર્ટ 5432 192.168 iptables -A INPUT -p tcp -s 3306.xx --sport XNUMX -i $ ઇન્ટ્રાનેટ -j ACCEPT છે
# આઉટપુટ - પ્રશ્ન પણ ખૂબ જ ચોક્કસ # નિયમ સર્વર બનાવવા માટે વપરાશકર્તા દ્વારા પૂછવામાં આવે છે: 192.168.1.2 mysql: 192.168.1.3
પોસ્ટગ્રેસેસ સાથે #mysql એ પોર્ટ 5432 છે
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ ઇન્ટ્રેનેટ -j ACCEPT
જો તમે કેટલાક મેઇલ મોકલવા માંગતા હો તો # સેન્ડમેઇલ બ્યુઇહh #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # સર્વર આઈપી - રીઅલ વાન આઇપી તમારા LAN_RANGE સર્વર = "192.168.xx / 21" ના તમારા નેટવર્કની # LAN રેંજ અથવા તમારા vlan # આઇપી જે એક્સ્ટ્રાનેટમાં ક્યારેય ન પ્રવેશવા જોઈએ, તે થોડું # તર્કનો ઉપયોગ કરવાનો છે જો આપણી પાસે શુદ્ધ WAN ઇન્ટરફેસ હોય, તો તે ક્યારેય ન હોવું જોઈએ તે ઇંટરફેસ દ્વારા # ટ્રાફિક લ LANન પ્રકાર દાખલ કરો એસ.પી.ઓ.ઓ.પી.આઇ.પી.પી.એસ. = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # ડિફaultલ્ટ ક્રિયા - જ્યારે કોઈ નિયમ ACTION = સાથે મેળ ખાતી હોય ત્યારે કરવા માટે "ડ્રોપ" # પેકેટ્સ મારા સર્વર જેવા જ આઈપ સાથેના વાન આઇપ્ટેબલ્સ દ્વારા - એક ઇનપુટ -i $ એક્સ્ટ્રાનેટ -s $ SERVER_IP -j $ ક્રિયા
iptables -A OUTPUT -o $ એક્સ્ટ્રાનેટ -s $ SERVER_IP -j $ ક્રિયા
લેન રેંજ સાથેના પેકેટ્સ, તે તમારા માટે કોઈ ચોક્કસ નેટવર્ક હોય તો, હું આની જેમ આને મૂકું છું, પરંતુ આ "ફોર લૂપ iptables -A INPUT -i $ એક્સ્ટ્રાનેટ -s inside" ની નીચેના # નિયમની સાથે નિરર્થક છે. LAN_RANGE -j $ ક્રિયા
iptables -A OUTPUT -o $ એક્સ્ટ્રાનેટ -s $ LAN_RANGE -j $ ક્રિયા
## બધા એસપીઓઓફ નેટવર્ક્સને $ એસપીઓઓપીએસ.આઇ.પી.એસ. આઇ.પી. માટે ડબલ્યુ દ્વારા મંજૂરી નથી-એક ઇનપુટ -i $ એક્સ્ટ્રાનેટ -s ip -j $ ક્રિયા
iptables -A OUTPUT -o $ એક્સ્ટ્રાનેટ -s ip -j $ ક્રિયા
કર્યુંહવે પછીની સમીક્ષામાં અમે પોર્ટ રેન્જ કરીશું અને નામો દ્વારા આયોજીત નીતિઓ પણ સ્થાપિત કરીશું, અન્ય બાબતોમાં ... હું તમારી ટિપ્પણીઓ અને વિનંતીઓની રાહ જોઉં છું.