सभी को नमस्कार, आज मैं आपको iptables के साथ फ़ायरवॉल पर ट्यूटोरियल की इस श्रृंखला का दूसरा भाग लाता हूं, बहुत सरल ताकि आप कॉपी और पेस्ट कर सकें, मुझे लगता है कि दिन के अंत में यह वही है जो सभी शुरुआती या यहां तक कि सबसे ज्यादा देखते हैं अनुभवी, क्यों हमें 100 बार पहिया को मजबूत करना है, है ना?
इस बार मैं उनसे कहता हूं कि क्या हम अपने फ़ायरवॉल को OUTPUT DROP नीति के साथ और अधिक आक्रामक बनाना चाहते हैं या नहीं के बहुत विशिष्ट मामले पर ध्यान केंद्रित करने की कोशिश करें। यह पोस्ट इस पेज के पाठक और मेरी पोस्ट के अनुरोध पर भी है। (मेरे मन के अंदर wiiiiiiiiiiiii)
आइए आउटपुट ड्रॉप नीतियों की स्थापना के "पेशेवरों और विपक्ष" के बारे में थोड़ी बात करें, जो मैं आपको बता सकता हूं कि यह काम को बहुत अधिक थकाऊ और श्रमसाध्य बनाता है, हालांकि समर्थक यह है कि नेटवर्क स्तर पर आपके पास सुरक्षा होगी यदि आप बैठ गए हैं तो नीतियों को अच्छी तरह से सोचने, डिजाइन करने और योजना बनाने के लिए, आपके पास बहुत अधिक सुरक्षित सर्वर होगा।
विषय को तोड़-मरोड़ने या न पाने के लिए, मैं आपको जल्दी से एक उदाहरण के साथ समझाने जा रहा हूं कि आपके नियम कितने या उससे कम होने चाहिए
iptables-OUTPUT -o eth0 -p tcp -sport 80-m राज्य -स्टेट एस्टेब्लिश -j ACCEPT
-A क्योंकि हमने नियम जोड़ा है
-o आउटबाउंड ट्रैफ़िक को संदर्भित करता है, फिर इंटरफ़ेस रखा गया है यदि निर्दिष्ट नहीं है क्योंकि यह सभी से मेल खाता है।
-स्पोर्ट पोर्ट ऑफ़ ओरिजिन, एक महत्वपूर्ण भूमिका निभाता है क्योंकि ज्यादातर मामलों में हमें यह पता नहीं होता है कि वे किस पोर्ट से रिक्वेस्ट करने जा रहे हैं, अगर ऐसा है तो हम dport का उपयोग कर सकते हैं
-पोर्ट गंतव्य बंदरगाह, जब हम विशेष रूप से अग्रिम में जानते हैं कि आउटगोइंग कनेक्शन केवल एक विशिष्ट पोर्ट पर जाना चाहिए। यह उदाहरण के लिए एक दूरस्थ mysql सर्वर की तरह कुछ समय के लिए समय का पाबंद होना है।
राज्य-राज्य स्थापित यह पहले से ही स्थापित कनेक्शनों को बनाए रखने का एक अलंकरण है, हम इसे भविष्य के पोस्ट में गहरा कर सकते हैं
-d गंतव्य की बात करने के लिए, यदि यह निर्दिष्ट किया जा सकता है, उदाहरण के लिए अपने आईपी द्वारा एक विशिष्ट मशीन के लिए ssh
#!/bin/bash
# हम iptables तालिकाओं को साफ करते हैं -F iptables -X # हम नैट iptables -t nat -F iptables -t nat -X # को साफ करते हैं PPPoE, PPP और ATM iptables -t mangle -F iptables -t mangle -X जैसी चीजों के लिए टेबल # नीतियां मुझे लगता है कि यह शुरुआती लोगों के लिए सबसे अच्छा तरीका है और # अभी भी बुरा नहीं है, मैं आउटपुट (आउटपुट) सभी को समझाऊंगा क्योंकि वे आउटगोइंग कनेक्शन हैं #, इनपुट हम सब कुछ छोड़ देते हैं, और कोई सर्वर आगे नहीं बढ़ना चाहिए। iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # स्थिति बनाए रखें। वह सब कुछ जो पहले से जुड़ा हुआ है (स्थापित) हम इसे इस iptables की तरह छोड़ देते हैं-IN INUTUT -m राज्य --state ESTABLISHED, संबंधित -j ACCEPT
iptables-OUTPUT -m राज्य -स्टेट स्थापित, संबंधित -j ACCEPT
# लूप डिवाइस। iptables-INPUT -i lo -j ACCEPT
# Iptables लूपबैक आउटपुट- OUTPUT -o lo -j ACCEPT
# http, https, हम इंटरफ़ेस को निर्दिष्ट नहीं करते हैं क्योंकि # हम चाहते हैं कि यह सभी iptables-IN INUTUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT हो
# प्रस्थान
# http, https, क्योंकि हम इंटरफ़ेस निर्दिष्ट नहीं करते हैं
# हम चाहते हैं कि यह सभी के लिए हो लेकिन अगर हम आउटपुट पोर्ट को निर्दिष्ट करते हैं
iptables-OUTPUT -p tcp --sport 80 -j ACCEPT iptables-OUTPUT -p tcp --sport 443 -j ACCEPT
# ssh केवल आंतरिक रूप से और इस श्रृंखला के iptables की श्रेणी से-INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT
# आउटपुट # ssh केवल आंतरिक रूप से और ip की इस श्रेणी से
iptables-OUTPUT -p tcp -d 192.168.xx / 24 -o $ इंट्रानेट --sport 7659 -j ACCEPT
# उदाहरण के लिए निगरानी अगर उनके पास ज़ैबिक्स या कुछ अन्य स्नैंप सेवा iptables-IN INUTUT -p tcp -s 192.168.1.1 -i $ इंट्रानेट --dport 10050 -j ACCEPT
# प्रस्थान
# उदाहरण के लिए निगरानी अगर उनके पास ज़ैबिक्स या कोई अन्य स्नैंप सेवा है
iptables-OUTPUT -p tcp -d 192.168.1.1 -o $ इंट्रानेट --dport 10050 -j ACCEPT
# icmp, पिंग अच्छा है आपका निर्णय iptables-INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# प्रस्थान
# icmp, पिंग अच्छा है आपका निर्णय
iptables-OUTPUT -p icmp -d 192.168.xx / 24 -o $ इंट्रानेट-एसी ACPT
पोस्टग्रेज के साथ #mysql पोर्ट 5432 iptables है-एक INPUT -p tcp -s 192.168.xx --sport 3306 -i $ इंट्रानेट -j ACCEPT
# आउटपुट - उपयोगकर्ता द्वारा एक बहुत विशिष्ट # नियम सर्वर बनाने के लिए पूछा गया प्रश्न: 192.168.1.2 mysql: 192.168.1.3
पोस्टग्रेज के साथ #mysql पोर्ट 5432 है
iptables-OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ इंट्रानेट -j ACCEPT
#sendmail bueeeh यदि आप कुछ मेल भेजना चाहते हैं तो #iptables-OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # सर्वर IP - असली wan ip आपके LAN_RANGE सर्वर = "192.168.xx / 21" # आपके नेटवर्क की LAN सीमा या आपके vlan # IP का जो कभी भी एक्स्ट्रानेट में प्रवेश नहीं करना चाहिए, यह एक # तर्क का थोड़ा सा उपयोग करना है यदि हमारे पास विशुद्ध रूप से इंटरफ़ेस है, तो इसे कभी भी नहीं होना चाहिए। उस इंटरफ़ेस SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" के माध्यम से # ट्रैफ़िक लैन टाइप दर्ज करें # डिफ़ॉल्ट क्रिया - जब कोई कार्रवाई ACTION से मेल खाती हो "ड्रॉप" # वान iptables के माध्यम से मेरे सर्वर के रूप में एक ही आईपी के साथ पैकेट-एक INPUT -i $ extranet -s $ SERVER_IP -j $ ACT
iptables-OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION
# वैन के लिए लैन रेंज के साथ पैकेट, मैंने इसे इस तरह से रखा है अगर आपके पास कोई विशेष नेटवर्क है, लेकिन यह लूप iptables के लिए "#" के अंदर निम्नलिखित # नियम के साथ बेमानी है-INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION
iptables-OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION
## सभी SPOOF नेटवर्क $ SPOOF_IPS में आईपी के लिए वान द्वारा अनुमति नहीं है, iptables-IN INUTUT -i $ extranet -s $ ip -j $ ACT
iptables-OUTPUT -o $ extranet -s $ ip -j $ ACTION
कियाअगली समीक्षा में हम पोर्ट रेंज करेंगे और अन्य चीजों के अलावा नामों द्वारा आयोजित नीतियों को भी स्थापित करेंगे ... मुझे आपकी टिप्पणियों और अनुरोधों का इंतजार है।