ביליתי קצת זמן במחשבה על שני דברים לגבי הטבלאות האלה: רוב אלה שמחפשים הדרכות אלה הם מתחילים ושנית, רבים כבר מחפשים משהו פשוט למדי וכבר משוכלל.
דוגמה זו מיועדת לשרת אינטרנט, אך תוכלו להוסיף בקלות כללים נוספים ולהתאים אותם לצרכים שלכם.
כאשר אתה רואה שינוי "x" עבור מכשירי ה- ip שלך
#!/bin/bash
# אנו מנקים שולחנות iptables -F iptables -X # אנו מנקים NAT iptables -t nat -F iptables -t nat -X # שולחן מנגל לדברים כמו PPPoE, PPP ו- iptables של כספומט -t mangle -F iptables -t mangle -X # מדיניות אני חושב שזו הדרך הטובה ביותר למתחילים ו # עדיין לא רע, אני אסביר את הפלט (פלט) הכל בגלל שהם חיבורים יוצאים #, קלט אנחנו זורקים הכל, ושום שרת לא צריך להעביר. iptables -P INPUT DROP iptables -P OUTPUT מקבלים iptables -P FORWARD DROP # אינטראנט LAN אינטראנט = eth0 # Extranet wan extranet = eth1 # שמור על מצב. כל מה שכבר מחובר (הוקם) נותר כמו iptables זה -מצב INPUT -m - state ESTABLISHED, RELATED -j ACCEPT # Loop device. iptables -A INPUT -i lo -j ACCEPT # http, https, אנחנו לא מציינים את הממשק כי # אנחנו רוצים שזה יהיה כל iptables -A INPUT -p tcp --port 80 -j קבל iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh רק באופן פנימי ומתוך טווח זה של iptables ip -A INPUT -p tcp -s 192.168.xx / 24 -i $ אינטראנט --port 7659 -j ACCEPT # ניטור למשל אם יש להם zabbix כמה iptables של שירות snmp אחר - A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j קבל # icmp, פינג טוב זה תלוי בך iptables -A INPUT -p icmp -s 192.168.xx / 24 - i $ intranet -j ACCEPT #mysql עם postgres הוא port 5432 iptables -A INPUT -p tcp -s 192.168.xx - sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh אם אתה רוצה לשלוח קצת דואר # iptables -A OUTPUT -p tcp --port 25 -j קבל # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" IP IP של שרת - ה- IP האמיתי של השרת שלך LAN_RANGE = "192.168.xx / 21 "# LAN טווח של הרשת שלך או vlan # Ip שלך שלעולם לא אמור להיכנס לאקסטרא-נט,זה להשתמש במעט לוגיקה אם יש לנו ממשק WAN בלבד, הוא לעולם לא צריך להיכנס לתעבורה מסוג LAN דרך ממשק זה SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 .16 / XNUMX "# פעולת ברירת מחדל - לביצוע כאשר כלל כלשהו תואם ל- ACTION =" DROP "# חבילות עם אותו IP של השרת שלי דרך iptables wan -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION # חבילות עם טווח LAN עבור ה- wan, אני מגדיר את זה ככה למקרה שיש לך # רשת מסוימת, אבל זה מיותר עם כלל # הבא בפנים הלולאה "עבור" iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION ## כל רשתות SPOOF אינן מורשות על ידי wan ל- ip $ SPOOF_IPS לעשות iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION done
כמו תמיד אני ממתין לתגובות שלך, הישאר מעודכן בבלוג זה, תודה