Üdvözlet mindenkinek, ma hozok neked egy második részt ennek az oktatósorozatnak a tűzfalon, iptables-sel, nagyon egyszerű, így másolhatsz és beilleszthetsz. Úgy gondolom, hogy a nap végén minden kezdő keres, vagy akár a legtöbb tapasztalt, miért kell 100-szor újra feltalálnunk a kereket, igaz?
Ezúttal azt mondom nekik, hogy próbáljanak összpontosítani arra a nagyon konkrét esetre, hogy azt akarjuk-e, hogy a tűzfalunk sokkal agresszívebb legyen egy OUTPUT DROP politikával. Ez a bejegyzés szintén ezen oldalak és bejegyzéseim olvasójának kérésére készült. (Bennem a fejemben: wiiiiiiiiiiiii)
Beszéljünk egy kicsit az „Output Drop” politikák kialakításának „előnyeiről és hátrányairól”, amelyek ellen főleg azt mondhatom, hogy ez sokkal unalmasabbá és fáradságosabbá teszi a munkát, ugyanakkor az a pro, hogy hálózati szinten biztonság, mint ha leülne Ha jól gondolja, megtervezi és megtervezi az irányelveket, akkor sokkal biztonságosabb kiszolgálóval rendelkezik.
Annak érdekében, hogy ne keveredjek vagy elszakadjak a témától, gyorsan elmagyarázom egy példával, hogyan kell a szabályainak többé-kevésbé
iptables -A KIMENET -o eth0 -p tcp –sport 80 -m állapot –állapot ESTABLISHED -j ACCEPT
-A mert hozzáadtuk a szabályt
-o kimenő forgalomra utal, akkor az interfész akkor kerül elhelyezésre, ha nincs megadva, mert mindegyiknek megfelel.
-Sport származási kikötője fontos szerepet játszik, mert a legtöbb esetben nem tudjuk, melyik kikötőből fogják kérni, ha igen, akkor a
–Dport célkikötő, amikor konkrétan előre tudjuk, hogy a kimenő kapcsolatnak csak egy adott portra kell mennie. Valami nagyon pontosnak kell lennie, például egy távoli mysql szervernek.
-m állam –állapot LÉTREHOZOTT Ez már a már kialakult kapcsolatok fenntartásának dísze, egy későbbi bejegyzésben elmélyülhetnénk benne
-d beszélni a rendeltetési helyről, ha meg lehet adni, például az ssh-t egy adott gépnek az ip-jével
#!/bin/bash
# Tisztítjuk az iptables táblákat -F iptables -X # Tisztítjuk a NAT iptables -t nat -F iptables -t nat -X # mangle táblázatot például PPPoE, PPP és ATM iptables -tangle -F iptables -t mangle -X # Irányelvek Azt gondolom, hogy ez a legjobb módszer a kezdőknek, és még mindig nem rossz, megmagyarázom az összes kimenetet, mert kimenő kapcsolatok #, a bemenet mindent elvetünk, és egyetlen szerver sem továbbíthat. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Állapot megtartása. Minden, ami már össze van kötve (létre van hozva), ezt így hagyjuk: iptables -A INPUT -m állapot - állam HATÁROZOTT, KAPCSOLÓDÓ -j ACCEPT
iptables -A KIMENET -m állapot - állapot LÉTREHOZOTT, KAPCSOLÓDÓ -j ACCEPT
# Hurok eszköz. iptables -A BEMENET -i lo -j ELFOGADÁS
# Iptables loopback kimenet -A KIMENET -o lo -j ACCEPT
# http, https, nem adjuk meg a kezelőfelületet, mert # azt akarjuk, hogy az összes iptable legyen -A BEMENET -p tcp --port 80 -j ACCEPT iptables -A BEMENET -p tcp --port 443 -j ACCEPT
# indulás
# http, https, nem adjuk meg a kezelőfelületet, mert
# azt akarjuk, hogy mindenki számára, de ha megadjuk a kimeneti portot
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
# ssh csak belsőleg, és az ip iptable -A INPUT -p tcp -s tartományából - 192.168.xx / 24 -i $ intranet --port 7659 -j ACCEPT
# output # ssh csak belsőleg és az ip-k ebből a tartományából származik
iptables -A KIMENET -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ACCEPT
# figyelés például, ha van zabbix vagy más snmp szolgáltatás iptables -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --port 10050 -j ACCEPT
# indulás
# figyelés például, ha van zabbixjuk vagy más snmp szolgáltatásuk
iptables -A KIMENET -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j ACCEPT
# icmp, ping jó a döntésed iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# indulás
# icmp, ping jó a döntésed
iptables -A KIMENET -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPT
A #mysql a postgres-sel az 5432-es port - iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# output - a felhasználó által feltett kérdés, hogy hozzon létre egy nagyon specifikus # szabálykiszolgálót: 192.168.1.2 mysql: 192.168.1.3
A #mysql a postgres-sel az 5432-es port
iptables -A KIMENET -p tcp -s 192.168.1.2 -d 192.168.1.3 --port 3306 -o $ intranet -j ACCEPT
#sendmail bueeeh, ha e-mailt szeretne küldeni #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # SPOOFING 09. # SERVER_IP = "07.xxx" # szerver IP - az igazi wan ip a LAN_RANGE kiszolgálójának = "2014.xx / 190" # A hálózat LAN-tartománya vagy a vlan # IP-jei, amelyeknek soha nem szabad belépniük az extranetbe, az egy kis # logika használata, ha tisztán WAN interfészünk van, soha nem szabad, hogy adja meg a # forgalmi LAN típust azon az interfészen keresztül SPOOF_IPS = "192.168/21 0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12" # Alapértelmezett művelet - akkor kell végrehajtani, ha bármely szabály megfelel az ACTION = "DROP" # A szerveremmel megegyező ip-vel rendelkező csomagok a wan iptables segítségével -A BEMENET -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A KIMENET -o $ extranet -s $ SERVER_IP -j $ ACTION
# LAN-tartományú csomagok a wan számára, én ezt így fogalmaztam meg, ha van # bármelyik hálózatod, de ez felesleges a következő # szabállyal a "for" ciklus iptables -A INPUT -i $ extranet -s $ belsejében. LAN_RANGE -j $ ACTION
iptables -A KIMENET -o $ extranet -s $ LAN_RANGE -j $ ACTION
## Az összes SPOOF hálózatot a wan nem engedélyezi az ip számára a $ SPOOF_IPS do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A KIMENET -o $ extranet -s $ ip -j $ ACTION
csináltA következő áttekintés során elvégezzük a porttartományt, és többek között név szerint rendezett házirendeket is létrehozunk ... Várom észrevételeit és kéréseit.