Ушул жөнөкөй сценарийдин 2-бөлүгүн колдонуп, iptables менен өзүңүздүн брандмауэрди түзүңүз

Firewall_ (тармакташуу)

Баардыгыңыздарга салам, бүгүн мен сизге брейкборд боюнча сабактардын сериясынын экинчи бөлүгүн алып келем, бул сизге көчүрүп чаптап алсаңыз болот деп өтө жөнөкөй, мен ойлойм, эмне үчүн күндүн аягында бардык башталгычтар издешет же ал тургай эң тажрыйбалуу, эмне үчүн биз дөңгөлөктү 100 жолу ойлоп табышыбыз керек, туурабы?

Бул жолу мен аларга биздин брандмауэр OUTPUT DROP саясаты менен агрессивдүү болушун каалайбызбы же жокпу деген конкреттүү окуяга көңүл бурууга аракет кылгыла деп айтам. Бул билдирүү ушул баракчанын окурманынын жана менин билдирүүмдүн талабы боюнча. (Акылымдын ичинде wiiiiiiiiiiiii)

Output Drop саясатын орнотуунун "оң жана терс жактары" жөнүндө бир аз сөз кылалы, мен сизге айта кетүүчү нерсе, бул ишти бир топ түйшүктүү жана түйшүктүү кылат, бирок тармактык деңгээлде сиз отурганыңызга караганда коопсуздугуңузга ээ болосуз. Саясатты ойлонуп, иштеп чыгып, пландаштыруу үчүн, сизде кыйла коопсуз сервер болот.

Кыйналбоо үчүн же темадан чыкпоо үчүн, мен сизге эрежелериңиздин канчалык көп же азыраак болушу керектигин мисал менен тез арада түшүндүрүп берейин.

iptables -A OUTPUT -o eth0 -p tcp - спорт 80 -m state-state ESTABLISHED -j КАБЫЛ АЛУУ
-A анткени биз эрежени коштук
-o тышкы трафикти билдирет, андан кийин интерфейс көрсөтүлбөйт, анткени ал баарына дал келет.
-спорт келип чыккан порт маанилүү ролду ойнойт, анткени көпчүлүк учурда кайсы порттон өтүнүч менен кайрылышарын билбейбиз, эгерде биз dport колдонсок
–Дпорт көздөлгөн порт, биз алдын-ала билсек, анда чыккан байланыш белгилүү бир портко гана барышы керек. Бул, мисалы, алыскы mysql сервери сыяктуу өзгөчө бир нерсе болушу керек.
-m state - мамлекеттик ТҮЗҮЛДҮ Бул буга чейин түзүлгөн байланыштарды сактап калуунун кооздугу, аны кийинки билдирүүдө тереңдетсек болот
-d көздөгөн жер жөнүндө айтуу, эгерде ал көрсөтүлүшү мүмкүн болсо, мисалы ssh анын белгилүү бир машинасына

#!/bin/bash

# Биз iptables таблицаларын тазалайбыз -F iptables -X # NAT iptables -t nat -F iptables -t nat -X # мрамл столун PPPoE, PPP жана банкоматтар сыяктуу нерселер үчүн тазалайбыз -t mangle -F iptables -t mangle -X # Саясат Менин оюмча, бул үйрөнчүктөр үчүн эң жакшы ыкма жана дагы деле болсо жаман эмес, мен чыгууну (чыгууну) түшүндүрүп берем, анткени алар чыгып жаткан байланыштар #, киргизүүнү биз баарын жокко чыгарабыз жана эч кандай сервер алдыга кетпеши керек. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Сактоо. Буга чейин туташкан (орнотулган) нерселердин бардыгын биз ушундай калтырабыз iptables -A INPUT -m state - state ESTABLISHED, RELATED -j КАБЫЛ АЛАТ
iptables -А ЧЫГАРУУ -m абалы - мамлекет ТҮЗҮЛГӨН, БАЙЛАНЫШТУУ -j КАБЫЛ АЛАТ
# Цикл түзмөгү. iptables -A INPUT -i lo -j КАБЫЛ АЛУУ
# Iptables loopback output -A OPPUT -o lo -j КАБЫЛ АЛУУ

# http, https, биз интерфейсти көрсөтпөйбүз, анткени # анын бардыгы iptables болушун каалайбыз -A INPUT -p tcp --dport 80 -j КАБЫЛ АЛУУ iptables -A INPUT -p tcp --dport 443 -j КАБЫЛ АЛУУ
# кетүү
# http, https, анткени биз интерфейсти көрсөтө албайбыз
# биз бардыгы үчүн болушун каалайбыз, бирок чыгуучу портту көрсөтсөк
iptables -A OUTPUT -p tcp --sport 80 -j КАБЫЛ АЛУУ iptables -A OUTPUT -p tcp --sport 443 -j КАБЫЛ АЛУУ

# ssh ички жана ушул ipдин iptables чектеринен -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j КАБЫЛ АЛУУ
# чыгаруу # ssh ички жана ушул ipлердин диапазонунан гана
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j КАБЫЛ АЛУУ
# мониторинг, мисалы, эгерде аларда zabbix же башка snmp кызматы бар болсо iptables -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j КАБЫЛ АЛУУ
# кетүү
Мисалы, zabbix же башка snmp кызматы бар болсо, # мониторинг
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j КАБЫЛ АЛУУ

# icmp, ping good сиздин чечимиңиз iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j КАБЫЛ АЛУУ
# кетүү
# icmp, ping good сиздин чечим
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j КАБЫЛ АЛУУ

#mysql менен postgres порту болуп саналат 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j КАБЫЛ АЛУУ
# output - ошондой эле # эреже серверин жасоо үчүн колдонуучу тарабынан берилген суроо: 192.168.1.2 mysql: 192.168.1.3
Postgres менен #mysql порт 5432
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j КАБЫЛ АЛУУ

#sendmail bueeeh, эгерде сиз бир нече почта жөнөтүүнү кааласаңыз #iptables -A ЧЫГАРЫЛЫШЫ -p tcp --dport 25 -j КАБЫЛ АЛЫНУУ # 09 # SERVER_IP = "07.xxx" # сервер IP - бул сиздин чыныгы wan ip server LAN_RANGE = "2014.xx / 190" # Сиздин тармактын LAN LAN диапазону же vlan # IP эч качан экстранетке кирбеши керек, эгерде бизде WAN интерфейси бар болсо, анда ал # трафикти эч качан # трафикке киргизбеши керек Ошол интерфейс аркылуу LAN түрү SPOOF_IPS = "192.168/21 0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12" # Демейки аракет - кайсы бир эреже ACTION = дал келгенде аткарылышы керек = " Wpt iptables аркылуу серверим сыяктуу ip менен # # пакеттерди таштоо -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION

# LAN диапазону бар wan пакеттери, эгерде сизде # кандайдыр бир тармак бар болсо, анда мен мындай деп коём, бирок бул "for" циклинин ичиндеги # эреже менен ашыкча болот iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION

## Бардык SPOOF тармактарына $ SPOOF_IPS ичинде ip колдонууга тыюу салынган iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
аткарылган

Кийинки кароодо биз порттун диапазонун жасайбыз, ошондой эле ысымдар боюнча уюштурулган саясатты жана башка нерселерди жасайбыз ... Сиздин сын-пикирлериңизди жана өтүнүчтөрүңүздү күтөм.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.