Es pavadīju kādu laiku, domājot par divām lietām par šo iptables: lielākā daļa no tiem, kas meklē šīs apmācības, ir iesācēji, un, otrkārt, daudzi jau meklē kaut ko diezgan vienkāršu un jau izstrādātu.
Šis piemērs ir paredzēts tīmekļa serverim, taču jūs varat viegli pievienot vairāk noteikumu un pielāgot to savām vajadzībām.
Kad redzat "x" izmaiņas jūsu ip's
#!/bin/bash
# Notīrām iptables tabulas -F iptables -X # Notīriet NAT iptables -t nat -F iptables -t nat -X # mangle tabulu tādām lietām kā PPPoE, PPP un ATM iptables -t mangle -F iptables -t mangle -X # Policies Es domāju, ka tas ir labākais veids iesācējiem un # joprojām nav slikts. Es izskaidrošu visu izvadi, jo tie ir izejošie savienojumi #, ievadi mēs izmetam visu, un nevienam serverim nevajadzētu pārsūtīt. iptables -P INPUT DROP iptables -P IZVADES PIEŅEMŠANA iptables -P FORWARD DROP #Intranet LAN iekštīkls = eth0 #Extranet wan extranet = eth1 # Uzturēt stāvokli. Viss, kas jau ir savienots (izveidots), tiek atstāts šādi: iptables -A INPUT -m state - state ESTABLISHED, RELATED -j ACCEPT # Loop device. iptables -A INPUT -i lo -j ACCEPT # http, https, mēs nenorādām saskarni, jo # mēs vēlamies, lai tas būtu viss iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh tikai iekšēji un no šī ip iptables diapazona -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet - port 7659 -j ACCEPT # monitorings, piemēram, ja viņiem ir zabbix vai kāds cits SNMP pakalpojuma iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ iekštīkls --port 10050 -j ACCEPT # icmp, ping arī tas ir atkarīgs no jums iptables -A INPUT -p icmp -s 192.168.xx / 24 - i $ intranet -j ACCEPT #mysql with postgres is port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh, ja vēlaties nosūtīt kādu pastu #iptables -A OUTPUT -p tcp --port 25 -j ACCEPT # Anti-SPOOFING 09. # SERVER_IP = "07.xxx" # servera IP - jūsu servera īstais wan ip LAN_RANGE = "2014.xx / 190" # LAN diapazons tīkla vai vlan # IP, kuriem nekad nevajadzētu iekļūt ekstranetā,ir izmantot mazliet # loģiku, ja mums ir tikai WAN interfeiss, tam nekad nevajadzētu ievadīt # LAN tipa trafiku caur šo saskarni. SPOOF_IPS = "192.168/21 0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0 / 12 "# Noklusējuma darbība - jāveic, kad jebkurš noteikums atbilst ACTION =" DROP "# Paketes ar to pašu mana servera ip, izmantojot wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION # Paketes ar LAN diapazonu samazinājumam, es to izteicu šādi, ja jums ir # kāds īpašs tīkls, taču tas ir lieks, ja cilnē ir # likums " par "iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION ## Visus SPOOF tīklus wan for ip neatļauj vietnē $ SPOOF_IPS do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION done
Kā vienmēr es gaidu jūsu komentārus, sekojiet līdzi šim emuāram, paldies