Egy ideig két dologban gondolkodtam az iptables-en: azoknak a többsége, akik ezeket az oktatóanyagokat keresik, kezdők, másodszor pedig sokan keresnek már valami meglehetősen egyszerű és már kidolgozott dolgot.
Ez a példa egy webkiszolgálóra vonatkozik, de könnyen hozzáadhat további szabályokat és az igényekhez igazíthatja.
Amikor látja az "x" változást az ip-jénél
#!/bin/bash
# Tisztítjuk az iptables táblákat -F iptables -X # Tisztítjuk a NAT iptables -t nat -F iptables -t nat -X # mangle táblákat olyan dolgokhoz, mint a PPPoE, PPP és ATM iptables -t mangle -F iptables -t mangle -X # Házirendek Úgy gondolom, hogy ez a legjobb módszer a kezdőknek, és a # még mindig nem rossz. Mindezt elmagyarázom a kimenet (output) miatt, mert kimenő kapcsolatok #, az input mindent elvetünk, és egyetlen szerver sem továbbíthat. iptables -P INPUT DROP iptables -P KIMENET ELFOGADÁS iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Állapot megtartása. Minden, ami már csatlakoztatva van (létrehozva), így marad: iptables -A INPUT -m állapot - state ESTABLISHED, RELATED -j ACCEPT # Loop eszköz. iptables -A INPUT -i lo -j ACCEPT # http, https, nem adjuk meg az interfészt, mert # azt akarjuk, hogy minden iptable -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh csak belsőleg, és az ip iptables ezen tartományából -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT # figyelés, például ha zabbix vagy más snmp szolgáltatás iptables -A BEMENET -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j ACCEPT # icmp, ping is, rajtad múlik iptables -A INPUT -p icmp -s 192.168.xx / 24 - i $ intranet -j ACCEPT #mysql postgres-sel az 5432-es port: iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh, ha e-mailt akarsz küldeni #iptables -A Kimenet -p tcp --dport 25 -j ACCEPT # SPOOFING 09. szeptember 07. # SERVER_IP = "2014.xxx" # szerver IP - a szerver valódi wan ip-je LAN_RANGE = "190.xx / 192.168" # LAN tartomány hálózatának vagy vlan # IP-jének, amelyek soha nem léphetnek be az extranetbe,az, hogy egy kis # logikát használunk, ha tisztán WAN interfészünk van, soha nem szabad # LAN típusú forgalmat bevinni ezen a felületen keresztül SPOOF_IPS = "21/0.0.0.0 8/127.0.0.0 8/10.0.0.0 8/172.16.0.0 12 / 192.168.0.0 "# Alapértelmezett művelet - akkor kell végrehajtani, ha bármely szabály megfelel az ACTION =" DROP "# Csomagoknak a szerverem azonos ip-jével a wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # segítségével iptables -A KIMENET -o $ extranet -s $ SERVER_IP -j $ ACTION # Csomagok LAN tartományral a wanhoz, én ezt így fogalmaztam meg abban az esetben, ha # bármilyen hálózatod van, de ez felesleges, ha a következő # szabály van a hurokban " az "iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION ## összes SPOOF hálózathoz, amelyet a wan ip nem engedélyezett a $ SPOOF_IPS fájlban do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION done
Mint mindig, várom észrevételeit, maradjon velünk a blogon, köszönöm