ಎಲ್ಲರಿಗೂ ನಮಸ್ಕಾರ, ಇಂದು ನಾನು ಫೈರ್ವಾಲ್ನಲ್ಲಿ ಈ ಸರಣಿಯ ಟ್ಯುಟೋರಿಯಲ್ಗಳ ಎರಡನೇ ಭಾಗವನ್ನು ಐಪ್ಟೇಬಲ್ಗಳೊಂದಿಗೆ ನಿಮಗೆ ತರುತ್ತೇನೆ, ನೀವು ನಕಲಿಸಲು ಮತ್ತು ಅಂಟಿಸಲು ತುಂಬಾ ಸರಳವಾಗಿದೆ, ದಿನದ ಕೊನೆಯಲ್ಲಿ ಅದು ಎಲ್ಲಾ ಆರಂಭಿಕರಿಗಾಗಿ ನೋಡುವುದು ಅಥವಾ ಹೆಚ್ಚು ಅನುಭವಿಗಳು, ಏಕೆ ನಾವು ಚಕ್ರವನ್ನು 100 ಬಾರಿ ಮರುಶೋಧಿಸಬೇಕು, ಸರಿ?
U ಟ್ಪುಟ್ ಡ್ರಾಪ್ ನೀತಿಯೊಂದಿಗೆ ನಮ್ಮ ಫೈರ್ವಾಲ್ ಹೆಚ್ಚು ಆಕ್ರಮಣಕಾರಿಯಾಗಬೇಕೆಂದು ನಾವು ಬಯಸುತ್ತೇವೆಯೇ ಎಂಬ ನಿರ್ದಿಷ್ಟ ಪ್ರಕರಣದ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಲು ಪ್ರಯತ್ನಿಸಲು ಈ ಬಾರಿ ನಾನು ಅವರಿಗೆ ಹೇಳುತ್ತೇನೆ. ಈ ಪೋಸ್ಟ್ ಈ ಪುಟದ ಓದುಗರ ಕೋರಿಕೆಯ ಮೇರೆಗೆ ಮತ್ತು ನನ್ನ ಪೋಸ್ಟ್ ಆಗಿದೆ. (ನನ್ನ ಮನಸ್ಸಿನ ಒಳಗೆ wiiiiiiiiiiiii)
Put ಟ್ಪುಟ್ ಡ್ರಾಪ್ ನೀತಿಗಳನ್ನು ಸ್ಥಾಪಿಸುವ "ಸಾಧಕ-ಬಾಧಕ" ಗಳ ಬಗ್ಗೆ ಸ್ವಲ್ಪ ಮಾತನಾಡೋಣ, ಇದರ ವಿರುದ್ಧ ನಾನು ಮುಖ್ಯವಾಗಿ ನಿಮಗೆ ಹೇಳಬಲ್ಲದು ಅದು ಕೆಲಸವನ್ನು ಹೆಚ್ಚು ಬೇಸರದ ಮತ್ತು ಪ್ರಯಾಸಕರವಾಗಿಸುತ್ತದೆ, ಆದರೆ ಪರವೆಂದರೆ ನೆಟ್ವರ್ಕ್ ಮಟ್ಟದಲ್ಲಿ ನೀವು ಕುಳಿತುಕೊಂಡಿದ್ದಕ್ಕಿಂತ ಸುರಕ್ಷತೆ ಇರುತ್ತದೆ ನೀತಿಗಳನ್ನು ಚೆನ್ನಾಗಿ ಯೋಚಿಸಲು, ವಿನ್ಯಾಸಗೊಳಿಸಲು ಮತ್ತು ಯೋಜಿಸಲು, ನೀವು ಹೆಚ್ಚು ಸುರಕ್ಷಿತ ಸರ್ವರ್ ಅನ್ನು ಹೊಂದಿರುತ್ತೀರಿ.
ವಿಷಯವನ್ನು ಹಾಳು ಮಾಡದಿರಲು ಅಥವಾ ಹೊರಬರಲು, ನಿಮ್ಮ ನಿಯಮಗಳು ಎಷ್ಟು ಹೆಚ್ಚು ಅಥವಾ ಕಡಿಮೆ ಇರಬೇಕು ಎಂಬುದರ ಉದಾಹರಣೆಯೊಂದಿಗೆ ನಾನು ನಿಮಗೆ ಶೀಘ್ರವಾಗಿ ವಿವರಿಸಲಿದ್ದೇನೆ
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state -state ESTABLISHED -j ACCEPT
-A ಏಕೆಂದರೆ ನಾವು ನಿಯಮವನ್ನು ಸೇರಿಸಿದ್ದೇವೆ
-o ಹೊರಹೋಗುವ ದಟ್ಟಣೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ, ನಂತರ ನಿರ್ದಿಷ್ಟಪಡಿಸದಿದ್ದರೆ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಇರಿಸಲಾಗುತ್ತದೆ ಏಕೆಂದರೆ ಅದು ಎಲ್ಲಕ್ಕೂ ಹೊಂದಿಕೆಯಾಗುತ್ತದೆ.
-ಸ್ಪೋರ್ಟ್ ಮೂಲದ ಬಂದರು, ಒಂದು ಪ್ರಮುಖ ಪಾತ್ರವನ್ನು ವಹಿಸುತ್ತದೆ ಏಕೆಂದರೆ ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ ಅವರು ಯಾವ ಬಂದರಿನಿಂದ ವಿನಂತಿಯನ್ನು ಮಾಡಲಿದ್ದಾರೆ ಎಂಬುದು ನಮಗೆ ತಿಳಿದಿಲ್ಲ, ಹಾಗಿದ್ದಲ್ಲಿ ನಾವು dport ಅನ್ನು ಬಳಸಬಹುದು
–ಪೋರ್ಟ್ ಗಮ್ಯಸ್ಥಾನ ಪೋರ್ಟ್, ಹೊರಹೋಗುವ ಸಂಪರ್ಕವು ನಿರ್ದಿಷ್ಟ ಬಂದರಿಗೆ ಮಾತ್ರ ಹೋಗಬೇಕು ಎಂದು ನಾವು ಮೊದಲೇ ತಿಳಿದಿರುವಾಗ. ಇದು ರಿಮೋಟ್ ಮೈಸ್ಕ್ಲ್ ಸರ್ವರ್ನಂತಹ ಸಮಯಪ್ರಜ್ಞೆಯ ಯಾವುದನ್ನಾದರೂ ಹೊಂದಿರಬೇಕು.
-ಎಂ ರಾಜ್ಯ –ಸ್ಥಳ ಸ್ಥಾಪಿಸಲಾಗಿದೆ ಇದು ಈಗಾಗಲೇ ಸ್ಥಾಪಿಸಲಾದ ಸಂಪರ್ಕಗಳನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳುವ ಅಲಂಕಾರವಾಗಿದೆ, ಭವಿಷ್ಯದ ಪೋಸ್ಟ್ನಲ್ಲಿ ನಾವು ಅದನ್ನು ಪರಿಶೀಲಿಸಬಹುದು
-d ಗಮ್ಯಸ್ಥಾನದ ಬಗ್ಗೆ ಮಾತನಾಡಲು, ಅದನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದಾದರೆ, ಉದಾಹರಣೆಗೆ ಅದರ ಐಪಿ ಮೂಲಕ ನಿರ್ದಿಷ್ಟ ಯಂತ್ರಕ್ಕೆ ssh
#!/bin/bash
#We ಕ್ಲೀನ್ e ಗಳ ಕೋಷ್ಟಕಗಳು -f e ಗಳ -X # ನಾವು ಸ್ವಚ್ಛ NAT e ಗಳ -t ನ್ಯಾಟ್ -f e ಗಳ -t ನ್ಯಾಟ್ -X # ಒತ್ತು ಯಂತ್ರ PPPoE, PPP, ಮತ್ತು ಎಟಿಎಂ e ಗಳ -t ಒತ್ತು ಯಂತ್ರ -f e ಗಳ -t ಒತ್ತು ಯಂತ್ರ -X # ನೀತಿಗಳು ವಿಷಯಗಳಿಗಾಗಿ ಟೇಬಲ್ ಆರಂಭಿಕರಿಗಾಗಿ ಇದು ಉತ್ತಮ ಮಾರ್ಗವೆಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ ಮತ್ತು # ಇನ್ನೂ ಕೆಟ್ಟದ್ದಲ್ಲ, output ಟ್ಪುಟ್ ಅನ್ನು ನಾನು ವಿವರಿಸುತ್ತೇನೆ ಏಕೆಂದರೆ ಅವುಗಳು ಹೊರಹೋಗುವ ಸಂಪರ್ಕಗಳು #, ಇನ್ಪುಟ್ ನಾವು ಎಲ್ಲವನ್ನೂ ತ್ಯಜಿಸುತ್ತೇವೆ ಮತ್ತು ಯಾವುದೇ ಸರ್ವರ್ ಫಾರ್ವರ್ಡ್ ಮಾಡಬಾರದು. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # ಸ್ಥಿತಿಯನ್ನು ಇರಿಸಿ. ಈಗಾಗಲೇ ಸಂಪರ್ಕಗೊಂಡಿರುವ ಎಲ್ಲವೂ (ಸ್ಥಾಪಿತವಾಗಿದೆ) ನಾವು ಇದನ್ನು ಈ ಐಪ್ಟೇಬಲ್ಗಳಂತೆ ಬಿಡುತ್ತೇವೆ -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
# ಲೂಪ್ ಸಾಧನ. iptables -A INPUT -i lo -j ACCEPT
# ಐಪ್ಟೇಬಲ್ಸ್ ಲೂಪ್ಬ್ಯಾಕ್ output ಟ್ಪುಟ್ -A OUTPUT -o lo -j ACCEPT
# http, https, ನಾವು ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದಿಲ್ಲ ಏಕೆಂದರೆ # ಇದು ಎಲ್ಲಾ iptables ಆಗಿರಬೇಕೆಂದು ನಾವು ಬಯಸುತ್ತೇವೆ -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# ನಿರ್ಗಮನ
# http, https, ಏಕೆಂದರೆ ನಾವು ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದಿಲ್ಲ
# ಇದು ಎಲ್ಲರಿಗೂ ಇರಬೇಕೆಂದು ನಾವು ಬಯಸುತ್ತೇವೆ ಆದರೆ ನಾವು port ಟ್ಪುಟ್ ಪೋರ್ಟ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದರೆ
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
# ssh ಆಂತರಿಕವಾಗಿ ಮತ್ತು ಈ ಶ್ರೇಣಿಯ ಐಪಿ ಐಪ್ಟೇಬಲ್ಗಳಿಂದ -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT
# output ಟ್ಪುಟ್ # ssh ಆಂತರಿಕವಾಗಿ ಮತ್ತು ಈ ಶ್ರೇಣಿಯ ಐಪಿಗಳಿಂದ ಮಾತ್ರ
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ACCEPT
# ಮಾನಿಟರಿಂಗ್ ಅವರು ಜಬ್ಬಿಕ್ಸ್ ಅಥವಾ ಇನ್ನಿತರ ಎಸ್ಎನ್ಎಂಪಿ ಸೇವಾ ಐಪಟೇಬಲ್ಗಳನ್ನು ಹೊಂದಿದ್ದರೆ -ಎ ಇನ್ಪುಟ್ -ಪಿ ಟಿಸಿಪಿ -ಎಸ್ 192.168.1.1 -ಐ $ ಇಂಟ್ರಾನೆಟ್ - ಡಿಪೋರ್ಟ್ 10050 -ಜೆ ಎಕ್ಸೆಪ್ಟ್
# ನಿರ್ಗಮನ
# ಅವರು ಜಬ್ಬಿಕ್ಸ್ ಅಥವಾ ಇನ್ನಿತರ ಎಸ್ಎನ್ಎಂಪಿ ಸೇವೆಯನ್ನು ಹೊಂದಿದ್ದರೆ # ಮಾನಿಟರಿಂಗ್
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j ACCEPT
# icmp, ಪಿಂಗ್ ನಿಮಗೆ ಬಿಟ್ಟದ್ದು -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# ನಿರ್ಗಮನ
# icmp, ಪಿಂಗ್ ಒಳ್ಳೆಯದು ನಿಮ್ಮ ನಿರ್ಧಾರ
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPT
ಪೋಸ್ಟ್ಗ್ರೆಸ್ನೊಂದಿಗೆ #mysql ಪೋರ್ಟ್ 5432 ಐಪ್ಟೇಬಲ್ಗಳು -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# output ಟ್ಪುಟ್ - ಒಂದು ನಿರ್ದಿಷ್ಟವಾದ # ನಿಯಮ ಸರ್ವರ್ ಮಾಡಲು ಬಳಕೆದಾರರು ಕೇಳುವ ಪ್ರಶ್ನೆ: 192.168.1.2 mysql: 192.168.1.3
ಪೋಸ್ಟ್ಗ್ರೆಸ್ನೊಂದಿಗೆ #mysql ಪೋರ್ಟ್ 5432 ಆಗಿದೆ
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j ACCEPT
ನೀವು ಕೆಲವು ಮೇಲ್ ಕಳುಹಿಸಲು ಬಯಸಿದರೆ #sendmail bueeeh LAN_RANGE server = "25.xx / 09" # ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನ LAN ಶ್ರೇಣಿ ಅಥವಾ ನಿಮ್ಮ ವ್ಲಾನ್ # IP ಗಳು ಎಂದಿಗೂ ಎಕ್ಸ್ಟ್ರಾನೆಟ್ ಅನ್ನು ಪ್ರವೇಶಿಸಬಾರದು, ಅದು ನಾವು ಸಂಪೂರ್ಣವಾಗಿ WAN ಇಂಟರ್ಫೇಸ್ ಹೊಂದಿದ್ದರೆ ಸ್ವಲ್ಪ # ತರ್ಕವನ್ನು ಬಳಸುವುದು, ಅದು ಎಂದಿಗೂ # ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಮೂದಿಸಬಾರದು ಆ ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ LAN ಪ್ರಕಾರ SPOOF_IPS = "07/2014 190/192.168 21/0.0.0.0 8/127.0.0.0 8/10.0.0.0" # ಡೀಫಾಲ್ಟ್ ಕ್ರಿಯೆ - ಯಾವುದೇ ನಿಯಮವು ACTION = ಗೆ ಹೊಂದಿಕೆಯಾದಾಗ ನಿರ್ವಹಿಸಲಾಗುವುದು. " ಡ್ರಾಪ್ "# ವಾನ್ ಐಪ್ಟೇಬಲ್ಗಳ ಮೂಲಕ ನನ್ನ ಸರ್ವರ್ನಂತೆಯೇ ಐಪಿ ಹೊಂದಿರುವ ಪ್ಯಾಕೆಟ್ಗಳು -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION
# WAN ಗಾಗಿ LAN ಶ್ರೇಣಿಯೊಂದಿಗಿನ ಪ್ಯಾಕೆಟ್ಗಳು, ನೀವು # ಯಾವುದೇ ನಿರ್ದಿಷ್ಟ ನೆಟ್ವರ್ಕ್ ಹೊಂದಿದ್ದರೆ ನಾನು ಈ ರೀತಿ ಇಡುತ್ತೇನೆ, ಆದರೆ ಇದು "ಫಾರ್" ಲೂಪ್ ಐಪ್ಟೇಬಲ್ಗಳ ಒಳಗೆ ಈ ಕೆಳಗಿನ # ನಿಯಮದೊಂದಿಗೆ ಅನಗತ್ಯವಾಗಿರುತ್ತದೆ -A INPUT -i $ extranet -s $ LAN_RANGE -j TI ಕ್ರಿಯೆ
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION
## SP SPOOF_IPS ನಲ್ಲಿ ಐಪಿಗಾಗಿ ಎಲ್ಲಾ SPOOF ನೆಟ್ವರ್ಕ್ಗಳು ಅನುಮತಿಸುವುದಿಲ್ಲ -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
ಮಾಡಲಾಗುತ್ತದೆಮುಂದಿನ ವಿಮರ್ಶೆಯಲ್ಲಿ ನಾವು ಪೋರ್ಟ್ ಶ್ರೇಣಿಯನ್ನು ಮಾಡುತ್ತೇವೆ ಮತ್ತು ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ ಹೆಸರುಗಳಿಂದ ಆಯೋಜಿಸಲಾದ ನೀತಿಗಳನ್ನು ಸಹ ಸ್ಥಾಪಿಸುತ್ತೇವೆ ... ನಿಮ್ಮ ಅಭಿಪ್ರಾಯಗಳು ಮತ್ತು ವಿನಂತಿಗಳನ್ನು ನಾನು ಕಾಯುತ್ತಿದ್ದೇನೆ.