Sveiki visi, šiandien aš jums pateikiu antrą šios pamokų, esančių ant ugniasienės su „iptables“, dalį, labai paprastą, kad galėtumėte nukopijuoti ir įklijuoti, manau, kad dienos pabaigoje tai yra tai, ko visi pradedantieji ieško ar net labiausiai patyręs, kodėl mes turime 100 kartų išradinėti ratą, tiesa?
Šį kartą liepiu pabandyti sutelkti dėmesį į labai konkretų atvejį, ar mes norime, kad mūsų užkarda būtų daug agresyvesnė vykdydama OUTPUT DROP politiką. Šis įrašas taip pat reikalingas šio puslapio skaitytojui ir mano įrašui. (Mano galvoje wiiiiiiiiiiiii)
Pakalbėkime šiek tiek apie „pranašumus ir trūkumus“ nustatant „Output Drop“ politiką, apie kurią galiu jums pasakyti, kad tai daro darbą daug varginančiu ir sunkesniu, tačiau už tai, kad tinklo lygiu turėsite saugumą nei atsisėdę. Gerai apgalvodami, suprojektuodami ir planuodami politiką turėsite daug saugesnį serverį.
Kad nesijaustų ir nenukryptų nuo temos, aš jums greitai paaiškinsiu pavyzdžiu, kaip daugiau ar mažiau turėtų būti jūsų taisyklės
„iptables“ -A IŠĖJIMAS -o eth0 -p tcp –sporto 80 -m būsena – valstija NUSTATYTA -j PRIIMTI
-A nes pridėjome taisyklę
-o reiškia siunčiamą srautą, tada sąsaja dedama, jei nenurodyta, nes ji atitinka visus.
-Sportas kilmės uostas, vaidina svarbų vaidmenį, nes daugeliu atvejų mes nežinome, iš kurio uosto jie pateiks prašymą, jei taip, mes galime naudoti dport
–Sportas paskirties uostas, kai mes iš anksto žinome, kad išeinantis ryšys turi vykti tik į konkretų uostą. Tai turi būti kažkas konkretaus, pavyzdžiui, nuotolinio „mysql“ serverio.
-m valstybė –STATYTA Tai jau puošmena išlaikyti jau užmegztus ryšius, galėtume į tai gilintis būsimame įraše
-d kalbėti apie paskirties vietą, jei ją būtų galima nurodyti, pvz., ssh konkrečiai mašinai pagal jos ip
#!/bin/bash
#Clean iptables lentelės -F iptables -X #Clean NAT iptables -t nat -F iptables -t nat -X # mangle table tokiems dalykams kaip PPPoE, PPP ir ATM iptables -t mangle -F iptables -t mangle -X # Policies Manau, kad tai yra geriausias būdas pradedantiesiems ir # vis dar neblogas, aš paaiškinsiu visus išvestį (išvestį), nes jie yra išeinantys ryšiai #, įvestis mes viską atmetame ir nė vienas serveris neturėtų perduoti. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranetas = eth0 #Extranet wan ekstranetas = eth1 # Išlaikyti būseną. Viską, kas jau prijungta (nustatyta), paliekame tai kaip šį „iptables“ - „INPUT“ - „m“ būseną - „valstybę“ NUSTATYTA, SUSIJED - „j“ PRIIMTI
„iptables“ -A REZULTATAS -m būsena - būsena NUSTATYTA, SUSIJED - j PRIIMTI
# Ciklo įrenginys. „iptables“ -A INPUT -i lo -j PRIIMTI
# „Iptables“ grįžtamojo ryšio išvestis -A IŠĖJIMAS -o lo -j PRIIMTI
# http, https, sąsajos nenurodome, nes # norime, kad ji būtų visa „iptables“ - A INPUT -p tcp --port 80 - j ACCEPT iptables - A INPUT -p tcp --port 443 -j ACCEPT
# išvykimas
# http, https, sąsajos nenurodome, nes
# norime, kad tai būtų visiems, bet jei nurodysime išvesties prievadą
„iptables“ -A OUTPUT -p tcp - sportas 80 -j PRIIMTI iptables -A OUTPUT -p tcp - „sports 443 -j ACCEPT“
# ssh tik viduje ir iš šio „iptables“ diapazono -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranetas --port 7659 -j ACCEPT
# output # ssh tik viduje ir iš šio IP diapazono
„iptables“ -A IŠĖJIMAS -p tcp -d 192.168.xx / 24 -o $ intranetas --portas 7659 -j PRIIMTI
# stebėjimas, pavyzdžiui, jei jie turi „zabbix“ ar kitą „SNMP“ paslaugos „iptables“ -A INPUT -p tcp -s 192.168.1.1 -i $ intranetas --port 10050 -j ACCEPT
# išvykimas
# stebėjimas, pavyzdžiui, jei jie turi zabbix ar kitą SNMP paslaugą
iptables -A IŠĖJIMAS -p tcp -d 192.168.1.1 -o $ intranetas --port 10050 -j PRIIMTI
# icmp, ping good yra jūsų sprendimas „iptables“ -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranetas -j PRIIMTI
# išvykimas
# icmp, „ping good“ yra jūsų sprendimas
„iptables“ -A IŠĖJIMAS -p icmp -d 192.168.xx / 24 -o $ intranetas -j PRIIMTI
#mysql su postgres yra 5432 prievadas „iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# output - vartotojo taip pat užduotas klausimas, norint sukurti labai konkretų # taisyklių serverį: 192.168.1.2 mysql: 192.168.1.3
# myysl su postgres yra 5432 prievadas
„iptables“ -A IŠĖJIMAS -p tcp -s 192.168.1.2 -d 192.168.1.3 --port 3306 -o $ intranetas -j PRIIMTI
#sendmail bueeeh, jei norite išsiųsti laišką #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09-07-2014 # SERVER_IP = "190.xxx" # serverio IP - tikrasis wan ip iš jūsų LAN_RANGE serverio = "192.168.xx / 21" # jūsų tinklo LAN ar jūsų # # IP, kurie niekada neturėtų patekti į ekstranetą, tai naudoti šiek tiek # logikos, jei turime grynai WAN sąsają, ji niekada neturėtų įveskite # srauto LAN tipą per tą sąsają SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Numatytasis veiksmas - turi būti atliktas, kai kuri nors taisyklė atitinka ACTION = „DROP“ # Paketai su tuo pačiu ip, kaip ir mano serveris, per „wan iptables“ -A INPUT -i $ extranet -s $ $ SERVER_IP -j $ ACTION
iptables -A IŠĖJIMAS -o $ ekstranetas -S $ SERVER_IP -j $ ACTION
# Paketai su LAN diapazonu mažėjant, aš jį taip išdėstiau, jei turite # bet kurį konkretų tinklą, tačiau tai yra nereikalinga, o ciklo „for“ „iptables“ -A INPUT -i $ extranet -s $ viduje yra ši # taisyklė. LAN_RANGE -j $ ACTION
iptables -A IŠĖJIMAS -o $ ekstranetas -S $ LAN_RANGE -j $ ACTION
## Visų SPOOF tinklų neleidžia „wan for ip“ sistemoje $ SPOOF_IPS do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A IŠĖJIMAS -o $ ekstranetas -s $ ip -j $ ACTION
DoneKitoje apžvalgoje atliksime uostų diapazoną ir, be kita ko, nustatysime politiką, suskirstytą pagal pavadinimus ... Laukiu jūsų komentarų ir prašymų.