Mamorona firewall anao manokana miaraka amin'ny iptables mampiasa ity script tsotra fizarana 2 ity

Firewall_ (tambajotra)

Salama daholo, anio aho mitondra ny ampahany faharoa amin'ity andian-dahatsoratra ity amin'ny firewall miaraka amin'ny iptables, tsotra be mba hahafahanao maka tahaka sy mametaka, mieritreritra aho fa amin'ny faran'ny andro dia izay no tadiavin'ny vao manomboka na koa ny tena betsaka za-draharaha, maninona isika no mila mamerina mamerina ny kodiarana in-100, sa tsy izany?

Amin'ity indray mitoraka ity dia miteny amin'izy ireo aho mba hiezaka hifantoka amin'ilay tranga tena manokana momba ny hoe raha tiantsika ho mahery setra kokoa ny firewall misy antsika amin'ny politika OUTPUT DROP. Ity lahatsoratra ity dia avy amin'ny fangatahan'ny mpamaky ity pejy ity sy ny lahatsoratro ihany koa. (Ao an-tsaiko wiiiiiiiiii)

Andao hiresaka kely momba ny "pro and cons" fametrahana ny politika Output Drop, ny iray azoko ambara aminao dia ny mahatonga ilay asa ho mankaleo kokoa sy hiasa mafy kokoa, na izany aza ny pro dia eo amin'ny sehatry ny tambajotra dia hanana fiarovana ianao toy izay raha nipetraka ianao Raha mieritreritra, mamolavola sy mandrafitra ny politika tsara dia hanana mpizara iray azo antoka ianao.

Mba tsy hanakorontanana na hiala amin'ilay lohahevitra dia hanazava haingana anao amin'ny ohatra iray aho hoe ohatrinona na tokony ho fatra ny lalànanao

iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m fanjakana –ny fanjakana Niorina -j MANAIKY
-A satria nanampy ny lalàna izahay
-o manondro fifamoivoizana ivelany, avy eo apetraka ny interface raha tsy voatondro satria mifanaraka amin'ny rehetra.
-Sport port of origin, mitana andraikitra lehibe satria amin'ny ankamaroan'ny tranga dia tsy fantatsika hoe avy aiza ny seranan'izy ireo hangataka izany, raha azontsika atao ny mampiasa dport
–Ny seranana seranan-tsambo, rehefa fantatsika mialoha mialoha fa ny fifandraisana misy dia tsy tokony mankany amin'ny seranana manokana. Tokony ho an'ny zavatra tena manokana toy ny mpizara MyQL lavitra ohatra.
-m fanjakana – fanjakana Niorina Ity dia efa haingo amin'ny fitazonana ireo fifandraisana efa napetraka, azontsika atao ny mamaky azy io amin'ny lahatsoratra manaraka
-d raha hiresaka ny toerana haleha, raha azo faritana, ohatra ssh amin'ny masinina manokana amin'ny alàlan'ny ip

#!/bin/bash

Latabatra # madio madio -F azo ampiasaina -X # latina NAT madio - nat -F iptables -t nat -X # latabatra mangle ho an'ny zavatra toa ny PPPoE, PPP, ary ny iptables ATM-mangle -F iptables -t mangle -X # Politika Heveriko fa ity no fomba tsara indrindra ho an'ny vao manomboka ary # mbola tsy ratsy, hazavaiko ny vokatra (output) rehetra satria izy ireo dia fifandraisana ivelany #, fampidirana dia atsipintsika ny zava-drehetra, ary tsy tokony hisy seriver handroso. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORBARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Tazomy ny fanjakana. Izay rehetra efa mifamatotra (miorina) dia avelantsika tahaka ity iptables -A INPUT -m fanjakana - fanjakana Niorina, mifandraika -j MANAIKY
iptables -A OUTPUT -m fanjakana - fanjakana Niorina, mifandraika -j MANAIKY
# Fitaovana tadivavarana. iptables -A INPUT -i lo -j MANAIKY
# Iptables loopback output -A OUTPUT -o lo -j MANAIKY

# http, https, tsy faritanay ny interface satria # tianay ho iptables rehetra -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# fiaingana
# http, https, izahay tsy mamaritra ny interface satria
# tianay ho an'ny rehetra izy io fa raha manondro ny seranan-tsambo avoakanay izahay
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# ssh ihany no ao anatiny ary avy amin'nio laharana ip's ippt -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT
# output # ssh ihany ao anatiny sy avy amin'ity sehatr ip's ity
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ACCEPT
# fanaraha-maso ohatra raha manana zabbix na serivisy snmp hafa iptables -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j ACCEPT
# fiaingana
# fanaraha-maso ohatra raha manana zabbix na serivisy snmp hafa izy ireo
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j ACCEPT

# icmp, ping tsara no fanapahan-kevitra iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# fiaingana
# icmp, ping tsara no fanapaha-kevitrao
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPT

#mysql miaraka amin'ny postgres dia port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# output - fanontaniana napetraky ny mpampiasa ihany koa mba hanao mpizara # fitsipika manokana: 192.168.1.2 MySQL: 192.168.1.3
#mysql miaraka amin'ny postgres dia seranana 5432
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j ACCEPT

#sendmail bueeeh raha te handefa mailaka #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - ny tena wan ip an'ny mpizara LAN_RANGE = "192.168.xx / 21" # LAN fantsom-pifandraisana na vlan # IP anao izay tsy tokony hiditra ao amin'ny extranet, dia ny fampiasana lojika kely # raha manana interface tsara WAN isika, tsy tokony hatao mihitsy izany ampidiro ny karazana LAN fifamoivoizana # amin'ny alàlan'io interface io SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" Hetsika default - hatao raha misy fitsipika mifanandrify amin'ny ACTION = "DROP" # fonosana misy ip mitovy amin'ny mpizara ahy amin'ny alàlan'ny wan iptables -A INPUT-$ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION

# Kitapo miaraka amin'ny LAN Range ho an'ny wan, apetrako toy izao raha toa ka manana tambajotra manokana # ianao, saingy tsy misy fihoarana miaraka amin'ny fitsipika # manaraka ao anatin'ny "for" loop iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION

## Ny tamba-jotra SPOOF rehetra tsy avelan'ny wan ho ip amin'ny $ SPOOF_IPS dia azo atao -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
vita

Amin'ny famerenana manaraka dia hanao seranana seranan-tsambo izahay ary hametraka ihany koa ny politika narindra amin'ny anarana, ankoatry ny zavatra hafa ... miandry ny hevitrao sy ny fangatahanao aho.


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

Aoka ho voalohany ny fanehoan-kevitra

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka. Mitaky saha dia marika amin'ny *

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.