Pozdrav svima, danas vam donosim drugi dio ove serije tutorijala o vatrozidu s iptablesima, vrlo jednostavan za kopiranje i lijepljenje, mislim da je to na kraju ono što svi početnici traže ili čak i najviše iskusni, zašto moramo izumiti kotač 100 puta, zar ne?
Ovog puta kažem im da se pokušaju usredotočiti na vrlo specifičan slučaj želimo li da naš vatrozid bude puno agresivniji s politikom IZLAZNOG PADA. Ovaj je post također na zahtjev čitatelja ove stranice i mog posta. (U mom umu wiiiiiiiiiiiii)
Razgovarajmo malo o "prednostima i nedostacima" uspostavljanja Output Drop politika, ono o čemu vam mogu reći je da to posao čini mnogo zamornijim i mukotrpnijim, no pro je u tome što ćete na mrežnoj razini imati sigurnost nego da ste sjeli Da biste dobro razmišljali, dizajnirali i planirali politike, imat ćete mnogo sigurniji poslužitelj.
Da ne bih blebetao ili odlazio s teme, na primjeru ću vam brzo objasniti kako bi vaša pravila trebala biti manje-više
iptables -A IZLAZ -o eth0 -p tcp –sport 80 -m stanje –država USTANOVLJENA -j PRIHVATI
-A jer smo dodali pravilo
-o odnosi se na odlazni promet, a zatim se postavlja sučelje ako nije navedeno jer se podudara sa svima njima.
-sport luka porijekla, igra važnu ulogu jer u većini slučajeva ne znamo iz koje će luke podnijeti zahtjev, ako bismo mogli koristiti dport
–Dport odredišna luka, kada unaprijed izričito znamo da odlazna veza mora ići samo do određene luke. To mora biti za nešto vrlo specifično, na primjer za udaljeni mysql poslužitelj.
-m stanje –država USTANOVLJENA Ovo je već ukras održavanja već uspostavljenih veza, mogli bismo se u njega pozabaviti u budućem postu
-d da govorimo o odredištu, ako se to može odrediti, na primjer ssh za određeni stroj njegovim ip-om
#!/bin/bash
# Čistimo iptables tablice -F iptables -X # Čistimo NAT iptables -t nat -F iptables -t nat -X # mangle table za stvari poput PPPoE, PPP i ATM iptables -t mangle -F iptables -t mangle -X # Pravila Mislim da je ovo najbolji način za početnike i # još uvijek nije loše, objasnit ću izlaz (izlaz) sve jer su to odlazne veze #, unosom odbacujemo sve, a nijedan poslužitelj ne smije prosljeđivati. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P NAPRIJED DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Zadrži stanje. Sve što je već povezano (uspostavljeno) ostavljamo ovako prilagodljivo -A ULAZ -m stanje -država USTANOVLJENA, POVEZANA -j PRIHVATITI
iptables -A IZLAZ -m stanje -država USTANOVLJENA, POVEZANA -j PRIHVAĆA
# Loop uređaj. iptables -A ULAZ -i lo -j PRIHVATI
# Iptables povratni izlaz -A IZLAZ -o lo -j PRIHVATI
# http, https, ne specificiramo sučelje jer # želimo da to budu sve iptables -A ULAZ -p tcp --dport 80 -j PRIHVATI iptables -A ULAZ -p tcp --dport 443 -j PRIHVATI
# odlazak
# http, https, ne određujemo sučelje jer
# želimo da to bude za sve, ali ako odredimo izlazni port
iptables -A IZLAZ -p tcp --sport 80 -j PRIHVATI iptables -A IZLAZ -p tcp --sport 443 -j PRIHVATI
# ssh samo interno i iz ovog raspona ip-ovih iptable -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j PRIHVATI
# izlaz # ssh samo interno i iz ovog raspona IP-ova
iptables -A IZLAZ -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j PRIHVATI
# praćenje na primjer ako imaju zabbix ili neke druge snmp usluge iptables -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j PRIHVATI
# odlazak
# praćenje na primjer ako imaju zabbix ili neku drugu snmp uslugu
iptables -A IZLAZ -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j PRIHVATI
# icmp, ping dobra je vaša odluka iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j PRIHVATI
# odlazak
# icmp, ping good je tvoja odluka
iptables -A IZLAZ -p icmp -d 192.168.xx / 24 -o $ intranet -j PRIHVATI
#mysql s postgresom je port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j PRIHVATI
# izlaz - pitanje koje je korisnik također postavio kako bi napravio vrlo specifičan # poslužitelj pravila: 192.168.1.2 mysql: 192.168.1.3
#mysql s postgresom je port 5432
iptables -A IZLAZ -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j PRIHVATI
#sendmail bueeeh ako želite poslati neku poštu #iptables -A IZLAZ -p tcp --dport 25 -j PRIHVATITE # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # IP poslužitelja - pravi wan ip vašeg poslužitelja LAN_RANGE = "192.168.xx / 21" # LAN domet vaše mreže ili vaše vlan # IP adrese koje nikada ne bi trebale ući u ekstranet, to je upotreba malo logike ako imamo isključivo WAN sučelje, to nikada ne bi trebalo unesite # prometnu vrstu LAN-a kroz to sučelje SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Zadana radnja - koja se izvršava kada se neko pravilo podudara s ACTION = "DROP" # Paketi s istim ip-om kao i moj poslužitelj putem wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION
# Paketi s LAN dometom za wan, stavio sam ga ovako za slučaj da imate # bilo koju određenu mrežu, ali ovo je suvišno sa sljedećim # pravilom unutar "for" petlje iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ AKCIJA
iptables -A IZLAZ -o $ ekstranet -i $ LAN_RANGE -j $ AKCIJA
## Sve SPOOF mreže ne dopuštaju wan za ip u $ SPOOF_IPS do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A IZLAZ -o $ ekstranet -s $ ip -j $ AKCIJA
obavljaU sljedećem ćemo pregledu napraviti domet luka i također uspostaviti politike organizirane po imenima, između ostalog ... Čekam vaše komentare i zahtjeve.