iptables, eng Approximatioun zu engem richtege Fall

D'Zil vun dësem Tutorial ass kontrolléieren eis Netzwierk, Ierger ze vermeiden vun engem aneren "ongewollte Gaascht" dee vu banne wëll eis de Buedem gesinn (kubaneschen Ausdrock dat heescht stéieren, féckelen, etc), "Packer" Virus, extern Attacken oder einfach fir d'Freed ze wëssen datt mir kënne friddlech schlofen.

Note: Denkt un d'iPtablespolitiken, AKZEPTÉIEREN alles oder DENY alles, si kënnen nëtzlech sinn, an e puer Fäll an net an aneren, dat hänkt vun eis of, datt alles wat am Netz geschitt, eist Geschäft ass, an nëmmen eist, jo, Äert, mäin, vun deem deen den Tutorial gelies huet, awer net weess wéi et leeft, oder vun deem deen et gelies huet an et ze gutt ugewannt huet.

Ritt Dir bleiwt !!!

Déi éischt Saach ass ze wëssen, wéi en Hafen all Service besetzt op engem Computer mat GNU / Linux installéiert, dofir musst Dir kee froen, oder bedeelegt Iech bei der Google Sich oder Berodung vun engem Geléierten iwwer dëst Thema, just eng Datei liesen . E klengen Dossier? Gutt jo, e klengen Dossier.

/ etc / Servicer

Awer wat enthält et / etc / Servicer?

Ganz einfach, d'Beschreiwung vun allen Servicer an Häfen existent fir dës Servicer entweder duerch TCP oder UDP, op eng organiséiert an opsteigend Manéier. Said Servicer a Ports goufen deklaréiert vun der IANA (Internet zougewisen Zuelen Autoritéit).

Spillt mat iptables

Als éischt Schrëtt hu mir e PC, deen d'Testmaschinn ass, nennt et wéi Dir wëllt, Lucy, Karla oder Naomi, ech nennen et Bessie.

Situatioun:

Gutt, gutt, Bessie ass eng Projektmaschinn déi eng VSFTPd montéiert, OpenSSH lafen, an eng Apache2 dat war eemol fir de Benchmarking installéiert (Leeschtung Test), awer gëtt elo nëmmen a Verbindung mat phpMyAdmin d'Datebanke vu MySQL déi intern vun Zäit zu Zäit benotzt ginn.

Notizen ze huelen:

Ftp, ssh, apache2 a mysql, sinn d'Servicer déi Ufroen op dësem PC kréien, dofir musse mir d'Ports berécksiichtegen déi se benotzen.

Wann ech net falsch sinn an / etc / Servicer seet net Ligen xD, ftp benotzt Hafen 20 an 21, ssh als Standard 22 oder soss eppes, wann et an der Konfiguratioun definéiert gouf (an engem anere Post schwätzen ech iwwer d'Konfiguratioun SSH e bësse méi wéi normalerweis bekannt ass), Apache 80 oder 443 wann et mat SSL ass, a MySQL 3306.

Elo brauche mir en aneren Detail, d'IP Adressen vun de PCs déi mat der Bessie interagéiere wäerten, sou datt eis Pompjeeën ënnereneen net op d'Schlaangen trëppelen (heescht kee Konflikt haha).

De Pepe, de PHP + MySQL Entwéckler, huet nëmmen Zougang zu Ports 20-21, 80, 443 an 3306, Frank, seng Saach ass d'Projetswebsäit z'aktualiséieren, déi an engem Mount geliwwert gëtt, hien huet nëmmen Zougang zum Hafen 80 / 443 an 3306 am Fall wou Dir eng Korrektur an der DB maache musst, an ech hunn Zougang zu all de Ressourcen um Server (an ech wëll de Login mat ssh duerch IP a MAC schützen). Mir mussen de Ping aktivéieren am Fall wou mir iergendwann d'Maschinn ofstëmme wëllen. Eist Netzwierk ass Klass C vum Typ 10.8.0.0/16.

Mir starten eng Kloertext Datei genannt Firewall.sh an deem et déi folgend enthält:

Paste No.4446 (Skript iptables)

An esou, mat dëse Linnen, erlaabt Dir Zougang zu den DevTeam Memberen, Dir schützt Iech selwer, an Dir schützt de PC, ech mengen besser erkläert, och net an Dreem. Et bleift just fir et Ausféierungs Permissiounen ze ginn, an alles wäert prett sinn ze goen.

Et ginn Tools déi duerch eng schéi GUI Ufänger Benotzer d'Firewall vun hire PCe konfiguréiere kënnen, wéi "BadTuxWall", déi Java erfuerderen. Och de FwBuilder, QT, dee schonn hei diskutéiert gouf oder de "Firewall-Jay", mat enger Interface an ncurses. A menger perséinlecher Meenung maachen ech et gär am Kloertext, also forcéieren ech mech ze léieren.

Dat ass alles, bis geschwënn weider z'erklären, de Fluff vum Konter-Fluff, vun enger anerer Konfiguratioun, Prozess oder Service.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

6 Kommentaren, loosst ären

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.

  1.   rodolfo alejandro sot

    super Ech freeën mech op ssh Gréiss, gudde Post, Gréiss.

  2.   Faustod sot

    Ech hunn dat gär, ech bereede meng Froen ...

  3.   nwt_lazaro sot

    # Erlaabt d'Entrée op d'IP Adress 192.168.0.15 mat kierperlecher Adress 00: 01: 02: 03: 04: 05

    iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m Staat –staat NEW -j AKZEPTÉIEREN

    Wann Dir méi IP- a Mac Adresse wëllt bäifügen, ass et eng Saach fir eng aner INPUT String anzeginn déi d'IP an d'Mac Adressen variéieren.

  4.   nwt_lazaro sot

    Ännerung: well WordPress net mat duebelen Bindestricher eens gëtt, haten déi folgend Deeler vum Kommando duebel Bindestricher
    - - mac-source 00: 01…
    - - dport 22 ...
    - - Staat NEI ...

    1.    KZKG ^ Gaara sot

      Wann Dir wëllt kënnt Dir d'Tags "Code" hei benotzen da setzt de Code "/ code" an déi zwee Skripte funktionéiere perfekt 😉
      Selbstverständlech den "an" duerch Symboler vu manner-wat a méi grouss-wat z'änneren

  5.   @Jlcmux sot

    Fro. Wann Dir e Server installéiert, sief et ssh oder apache oder wat och ëmmer. Den Hafen geet net vu sech op? Wat ass den Ënnerscheed tëscht sou loossen oder sou opmaachen?