Sveiki, visi, šodien es jums parādīju šīs apmācības sērijas otro daļu uz ugunsmūra ar iptables, ļoti vienkāršu, lai jūs varētu kopēt un ielīmēt. Es domāju, ka dienas beigās tas ir tas, ko visi iesācēji meklē vai pat vispieredzējušākie, kāpēc mums 100 reizes ir jāizgudro ritenis, vai ne?
Šoreiz es viņiem saku, lai viņi mēģina koncentrēties uz ļoti konkrētu gadījumu, vai mēs vēlamies, lai mūsu ugunsmūris būtu daudz agresīvāks ar OUTPUT DROP politiku. Šis ieraksts ir arī pēc šo lapu un manu ziņu lasītāja pieprasījuma. (Manā prātā wiiiiiiiiiiiii)
Parunāsim nedaudz par “plusi un mīnusi”, kas saistīti ar produkcijas krituma politikas izveidi, pret kuru es jums galvenokārt varu pateikt, ka tas padara darbu daudz nogurdinošāku un darbietilpīgāku, tomēr pro ir tas, ka tīkla līmenī jums būs drošība nekā tad, ja apsēstos. Lai labi domātu, izstrādātu un plānotu politikas, jums būs daudz drošāks serveris.
Lai netraucētu un nenokļūtu no tēmas, es ar piemēru ātri izskaidrošu, kā jūsu noteikumiem vajadzētu būt vairāk vai mazāk
iptables -A REZULTĀTS -o eth0 -p tcp –sporta 80 -m stāvoklis –VALSTS Dibināts -j ACCEPT
-A jo mēs pievienojām likumu
-o attiecas uz izejošo datplūsmu, tad interfeiss tiek ievietots, ja tas nav norādīts, jo tas atbilst visiem tiem.
-sports izcelsmes ostai ir svarīga loma, jo vairumā gadījumu mēs nezinām, no kuras ostas viņi pieprasīs, ja tā, tad mēs varētu izmantot
–Dans galamērķa osta, kad mēs jau iepriekš īpaši zinām, ka izejošajam savienojumam jāiet tikai uz noteiktu ostu. Tam ir jābūt kaut kam ļoti precīzam, piemēram, piemēram, attālajam mysql serverim.
-m valsts –valsts Dibināta Tas jau ir rotājums jau izveidoto savienojumu uzturēšanai, mēs tajā varētu iedziļināties kādā nākamajā ierakstā
-d lai runātu par galamērķi, ja to varētu norādīt, piemēram, ssh konkrētai mašīnai ar tās ip
#!/bin/bash
# Mēs tīrām iptables tabulas -F iptables -X # Mēs tīrām NAT iptables -t nat -F iptables -t nat -X # mangle tabulu tādām lietām kā PPPoE, PPP un ATM iptables -t mangle -F iptables -t mangle -X # Policies Es domāju, ka tas ir labākais veids iesācējiem un # joprojām nav slikts. Es izskaidrošu visu izvadi, jo tie ir izejošie savienojumi #, ievadi mēs izmetam visu, un nevienam serverim nevajadzētu pārsūtīt. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN iekštīkls = eth0 #Extranet wan extranet = eth1 # Uzturiet stāvokli. Visu, kas jau ir savienots (izveidots), mēs to atstājam kā šo iptables -A INPUT -m stāvoklis - state ESTABLISHED, SAISTĪTS -j ACCEPT
iptables -A OUTPUT -m state - state ESTABLISHED, RELATED -j ACCEPT
# Loop ierīce. iptables -A INPUT -i lo -j PIEŅEMT
# Iptables atgriezeniskās saites izeja -A IZVADE -o lo -j ACCEPT
# http, https, mēs nenorādām saskarni, jo # mēs vēlamies, lai tas būtu viss iptables -A INPUT -p tcp --port 80 -j ACCEPT iptables -A INPUT -p tcp --port 443 -j ACCEPT
# aiziešana
# http, https, mēs nenorādām saskarni, jo
# mēs vēlamies, lai tas būtu visiem, bet, ja mēs norādām izvades portu
iptables -A OUTPUT -p tcp - sports 80 -j PIEŅEMT iptables -A OUTPUT -p tcp - sports 443 -j ACCEPT
# ssh tikai iekšēji un no šī ip iptables diapazona -A INPUT -p tcp -s 192.168.xx / 24 -i $ iekštīkls --port 7659 -j ACCEPT
# output # ssh tikai iekšēji un no šī ip diapazona
iptables -A IZVADE -p tcp -d 192.168.xx / 24 -o $ iekštīkls - sports 7659 -j ACCEPT
# uzraudzība, piemēram, ja viņiem ir zabbix vai kāds cits SNMP pakalpojuma iptables -A INPUT -p tcp -s 192.168.1.1 -i $ iekštīkls --port 10050 -j ACCEPT
# aiziešana
# uzraudzība, piemēram, ja viņiem ir zabbix vai kāds cits snmp pakalpojums
iptables -A IZVADE -p tcp -d 192.168.1.1 -o $ iekštīkls --port 10050 -j ACCEPT
# icmp, ping labs ir jūsu lēmums iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# aiziešana
# icmp, ping labs ir tavs lēmums
iptables -A IZVADE -p icmp -d 192.168.xx / 24 -o $ iekštīkls -j ACCEPT
#mysql ar postgres ir ports 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# output - jautājums, ko lietotājs arī uzdeva, lai izveidotu ļoti specifisku # noteikumu serveri: 192.168.1.2 mysql: 192.168.1.3
#mysql ar postgres ir ports 5432
iptables -A IZVADE -p tcp -s 192.168.1.2 -d 192.168.1.3 --port 3306 -o $ iekštīkls -J PIEŅEMT
#sendmail bueeeh, ja vēlaties nosūtīt kādu pastu #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09. # SERVER_IP = "07.xxx" # servera IP - jūsu īstā Wan IP LAN_RANGE server = "2014.xx / 190" # Tīkla LAN diapazons vai vlan # IP, kuriem nekad nevajadzētu iekļūt ekstranetā, tas ir mazliet izmantot # loģiku, ja mums ir tikai WAN interfeiss, tam nekad nevajadzētu ievadīt # trafiku LAN tips, izmantojot šo saskarni SPOOF_IPS = "192.168/21 0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12" # Noklusējuma darbība - jāveic, ja jebkura kārtula atbilst ACTION = " DROP "# Paketes ar tādu pašu ip kā mans serveris, izmantojot wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A IZVADE -o $ ekstranets -s $ SERVER_IP -j $ ACTION
# Paketes ar LAN diapazonu samazinājumam, es to ievietoju šādi, ja jums ir # kāds īpašs tīkls, taču tas ir lieks, ar šādu # likumu cilnes iptables "for" iekšpusē -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION
iptables -A IZVADE -o $ extranet -s $ LAN_RANGE -j $ ACTION
## Visus SPOOF tīklus wan for ip neatļauj mapē $ SPOOF_IPS do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A IZVADE -o $ extranet -s $ ip -j $ ACTION
darītsNākamajā pārskatā mēs veiksim ostu diapazonu un arī izveidosim politikas, kas sakārtotas pēc nosaukumiem, cita starpā ... Es gaidu jūsu komentārus un pieprasījumus.