Mamorona firewall anao manokana miaraka amin'ny iptables mampiasa ity script tsotra ity

Nieritreritra zavatra roa momba ny iptables aho nandritra ny fotoana kelikely: ny ankamaroan'ireo izay mitady ireo fampianarana ireo dia vao manomboka ary faharoa, maro no efa mitady zavatra somary tsotra ary efa nohazavaina.

Ity ohatra ity dia ho an'ny mpizara tranonkala, fa afaka manampy fitsipika mora kokoa ianao ary mampifanaraka izany amin'ny zavatra ilainao.

Rehefa mahita ny fiovana "x" ho an'ny ip'so ianao


#!/bin/bash

# Manadio latabatra iptables -F iptables -X # Manadio iptables NAT isika- nat -F iptables -t nat -X # latabatra mangle ho an'ny zavatra toa ny PPPoE, PPP, ary ATM iptables -t mangle -F iptables -t mangle -X # Politika Heveriko fa ity no fomba tsara indrindra ho an'ny vao manomboka ary # mbola tsy ratsy, hazavaiko daholo ny vokatra (output) satria fifandraisana ivelany izy ireo #, fampidirana dia arosontsika daholo, ary tsy tokony hisy seriver handroso. iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Tazomy ny fanjakana. Izay rehetra efa mifamatotra (miorina) dia tavela toy izao: iptables -A INPUT -m fanjakana - fanjakana Niorina, mifandraika -j MANAIKY # Fitaovana tadivavarana. iptables -A INPUT -i lo -j ACCEPT # http, https, tsy faritanay ny interface satria # tadiavinay ho an'ny iptables rehetra -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh ihany ao anatiny ary avy amin'ity faritra ip's ipptable ity -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT # fanaraha-maso ohatra raha manana zabbix izy ireo na iptables serivisy snmp hafa -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j ACCEPT # icmp, azonao atao ping izany aminao iptables -A INPUT -p icmp -s 192.168. xx / 24 - i $ intranet -j ACCEPT #mysql miaraka amin'ny postgres dia port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh raha te handefa mailaka ianao #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - ny tena ip ip an'ny mpizara anao LAN_RANGE = "192.168.xx / 21 "Faritra # LAN an'ny tambajotranao na ny vlan # Ip's izay tsy tokony hiditra ao amin'ny extranet mihitsy,dia ny fampiasana lozika kely # raha manana interface WAN madio isika dia tsy tokony hiditra ao anaty fifamoivoizana karazana LAN izany amin'ny alàlan'io interface io SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 .16 / XNUMX "# Default action - ho tanterahina raha misy fitsipika mifanandrify amin'ny ACTION =" DROP "# Packets miaraka amin'ny ip an'ny mpizara ahy amin'ny alàlan'ny wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION # fonosana misy ny LAN Range ho an'ny wan, napetrako toy izao raha toa ka manana # tambajotra manokana ianao, saingy mihena izany miaraka amin'ny fitsipika # manaraka ao anatiny ny loop "for" iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION ## Ny tamba-jotra SPOOF rehetra tsy avelan'ny wan ho ip ao $ SPOOF_IPS manao iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION vita

Miandry ny hevitrao foana aho, araho eto amin'ity bilaogy ity, Misaotra


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

12 hevitra, avelao ny anao

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka. Mitaky saha dia marika amin'ny *

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.

  1.   HO2Gi dia hoy izy:

    Manampy ahy hanohy hianatra bebe kokoa misaotra adika ity.

    1.    BrodyDalle dia hoy izy:

      tongasoa ianao, faly manampy anao

  2.   Javier dia hoy izy:

    Tena miala tsiny aho, fa manana fanontaniana roa (ary ny iray fanomezana 😉):

    Ho tonga miaraka amin'ity fikirakira ity ve ianao hanana Apache mihazakazaka ary manidy ny ambiny afa-tsy SSH?

    #Ny latabatra diovinay
    iptables -F
    iptables -X

    Manadio NAT isika

    iptables -t nat -F
    iptables -t nat -X

    iptables -A INPUT -p tcp –dport 80 -j MANAIKY

    ao anatiny ihany sy avy amin'ity sehatr ip ity

    iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet –dport 7659 -j ACCEPT

    Fanontaniana faharoa: 7659 ve ny seranana ampiasaina amin'ny SSH amin'ity ohatra ity?

    Ary fahatelo sy farany: amin'ny rakitra iza no tokony hamonjy azy io?

    Misaotra betsaka anao amin'ny fampianarana, mahamenatra ny maha-zazavavikely anao ary tsy afaka manararaotra tsara azy.

    1.    BrodyDalle dia hoy izy:

      ity no fitsipika ilainao amin'ny http avy amin'ny apache
      iptables -A INPUT -p tcp –dport 80 -j MANAIKY

      fa mila manambara ihany koa ireo politikan'ny default default (ao amin'ny script io)
      iptables -P INPUT DROP
      iptables -P MANDROSO NY VOLA
      iptables -P MANDRITRA MITONDRA

      ary izany satria raha lavitra ianao dia hanary anao.
      iptables -A INPUT -m fanjakana –ny fanjakana Niorina, mifandraika -j MANAIKY

      raha 7659 no seranan'io ssh io ao amin'ny ohatra, 22 no anaovana default, na dia mamporisika anao hanova seranana "tsy dia fantatra" aza aho
      lehilahy tsy haiko, araka ny tadiavinao ... firewall.sh ary apetrakao ao amin'ny rc.local (sh firewall.sh) ka mandeha ho azy izy io, miankina amin'ny rafitra fiasa anananao, misy rakitra ao aminao afaka mametraka ny lalàna mivantana.

  3.   Jge dia hoy izy:

    Tena tsara ry bro ny script-nao, mamakafaka azy…. Fantatrao ve ny fomba handavako ny fangatahan'ny mpampiasa ahy amin'ny tranokala manokana?…. saingy manana mpizara betsaka ity tranonkala ity….

    1.    BrodyDalle dia hoy izy:

      Manoro safidy hafa aho:
      1) Afaka mamorona faritra sandoka amin'ny dns ianao ...
      2) Afaka mametraka proxy miaraka amin'ny acl ianao
      fahotana embargo
      Ho an'ny iptables dia azonao atao ity ... tsy io foana no safidy tsara indrindra (misy fomba maro kokoa)
      iptables -A INPUT -s blog.desdelinux.ne -j DROPA
      iptables -A OUTPUT -d blog.fromlinux.net -j DROPA

      Lazao amiko raha niasa izany

  4.   Javier dia hoy izy:

    Misaotra noho ny valiny dia nilamina ny zava-drehetra. Nanontany momba ny seranana aho satria gaga fa nampiasa ilay 7659, satria ny seranan-tsambo tsy miankina dia manomboka amin'ny 49152, ary mety hanelingelina serivisy na zavatra hafa.
    Averina indray, misaotra ny zavatra rehetra, tsara izany!

    Fiarahabana.

  5.   sento dia hoy izy:

    BrodyDalle, ahoana no ahafahako mifandray aminao? Tena mahaliana ny script anao.

    1.    BrodyDalle dia hoy izy:
  6.   Carlos dia hoy izy:

    Moa ve ilay tsipika farany "iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION" hisorohana ny masinanao manokana tsy hanararaotra? Sa mety misy fonosana misy poizina miditra ary afaka miala miaraka amin'izay loharano voapoizina ary izany no antony ampidirana ny fitsipika miaraka amin'ny OUTPUT?
    Misaotra betsaka tamin'ny fanazavana !!!

  7.   Fran dia hoy izy:

    ity no script iptables ahy manokana, feno tanteraka izy io:

    # franes.iptables.airoso
    # doc.iptables.airoso: iptables ho an'ny lova sy ho an'ny nft
    #
    seranan-tsambo # firewall
    ### ----------------
    #! / bin / bash
    #
    # esory ny efijery
    #### #### Scalaor #### Scout of /etc/f-iptables/default.cfg ||
    mazava
    # avelao tsipika banga
    RuNet
    manondrana eny = »» tsia = »miverina»
    # ireo miovaova azonao ovaina hahafahana miditra
    ###ooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo hovaina amin'ny $ eny na $ tsia
    hayexcepciones fanondranana = »$ no»
    # misy maningana: $ eny hamela ny mpampiantrano miavaka sy ny $ tsia hanajanona
    fanondranana hayping = »$ no»
    # hayping: $ eny hamela ny ping an'ny antoko fahatelo ary $ tsia handà
    fanondranana haylogserver = »$ no»
    # haylogeosserver: $ eny raha afaka manoratra tcp $ tsia mba tsy hahafahana manisy tcp
    ######
    #### #### Scala. Scala variable hanovana fanovana "," na misy elanelana misy ":"
    fanilikilihana fanondranana = »baldras.wesnoth.org»
    # maningana dia mamela mpampiantrano tokana na maromaro avy amin'ny firewall na tsy misy sanda
    logserver fanondranana = ario, ipp, dict, ssh
    Seranan-tsambo mpizara # tcp izay tafiditra rehefa tonga ny fonosana
    redserver fanondranana = 0/0
    # redserver: ny tamba-jotra ho an'ny seranan-tseranana serivisy eo an-toerana na ips maromaro
    manondrana mpanjifa mena = 0/0
    #clientnet: ny tambajotram-pifandraisana ho an'ny mpanjifa aleon'ny tambajotra rehetra
    fanondranana servidortcp = ario, ipp, dict, 6771
    # servidortcp: ny seranan-tsambo mpizara tcp voalaza
    fanondranana serverudp = ario
    #udpserver: ny seranana mpizara udp voatondro
    fanondranana clientudp = domain, bootpc, bootps, ntp, 20000: 45000
    mpanjifa #udp: ny seranan-tsambo client udp voatondro
    fanondranana clienttcp = domain, http, https, ipp, git, dict, 14999: 15002
    mpanjifa # tcp: ny seranan-tsambo client tcp voatondro
    ##### #### #### #### #### #### ### end of /etc/f-iptables/default.cfg ||
    ####
    fanondranana firewall = $ 1 miova = $ 2
    raha ["$ variables" = "$ NULL"]; avy eo loharano /etc/f-iptables/default.cfg;
    loharano hafa / etc / f-iptables / $ 2; ny fi
    ### ----------------
    ### ---------------- ### ----------------
    firewall fanondranana = $ 1 miovaova = $ 2
    ### ----------------
    raha ["$ firewall" = "tapaka"]; avy eo ny akora FIREWALL DISCONNected;
    fanondranana activateserver = »$ no» activateclient = »$ no» wet = »$ no»;
    elif ["$ firewall" = "client"]; avy eo akony ny FIANGONANA FIREWALL CLIENT;
    fanondranana activateserver = »$ no» activateclient = »» wet = »$ no»;
    elif ["$ firewall" = "mpizara"]; avy eo miverina SERVER FIREWALL;
    fanondranana activateserver = »» activateclient = »$ no» wet = »$ no»;
    elif ["$ firewall" = "client and server"]; avy eo akony ny CLIENT FIASA sy SERVER;
    fanondranana mampihetsika server = »»; activateclient fanondranana = »»; export wet = »$ no»;
    elif ["$ firewall" = "permissive"]; avy eo dia akony ny FIOMPIANA FANDEFERANA;
    fanondranana activateserver = »$ no» activateclient = »$ no» wet = »»;
    hafa
    $ zahao sudo echo iptables-legacy:
    $ zahao sudo iptables-legacy -v -L INPUT
    $ zahao sudo iptables-legacy -v -L OUTPUT
    $ zahao sudo echo iptables-nft:
    $ zahao sudo iptables-nft -v -L INPUT
    $ zahao sudo iptables-nft -v -L OUTPUT
    akony _____parameter____ $ 0 $ 1 $ 2
    echo "cast without parameter is to list iptables."
    echo "Ny masontsivana voalohany (ampidino iptables): tapaka na mpanjifa na mpizara na mpanjifa sy mpizara na permissive."
    echo "Ny masontsivana faharoa: (tsy voatery): ny rakitra default.cfg dia misafidy /etc/f-iptables/default.cfg"
    akony "Famaritana miovaova:" $ (ls / etc / f-iptables /)
    fivoahana 0; ny fi
    ### ----------------
    RuNet
    echo Manipy $ 0 tapaka na mpanjifa na mpizara na mpanjifa sy mpizara na permissive na miovaova na tsy mampiasa masontsivana mba lisitra iptables.
    akony Ny rakitra $ 0 dia misy miovaova vitsivitsy azo ovaina ao anatiny.
    ####
    ### ----------------
    echo setting the iptables variables
    miova miovaova ny akony
    RuNet
    ####
    echo Fametrahana iptables-lova
    sudo / usr / sbin / iptables-lova-sivana -F
    sudo / usr / sbin / iptables-legacy -t nat -F
    sudo / usr / sbin / iptables-lova-mangle -F
    sudo / usr / sbin / ip6tables-legacy -t sivana -F
    sudo / usr / sbin / ip6tables-legacy -t nat -F
    sudo / usr / sbin / ip6tables-legacy -t mangle -F
    sudo / usr / sbin / ip6tables-legacy -A INPUT -j DROPA
    sudo / usr / sbin / ip6tables-legacy -A OUTPUT -j DROPA
    sudo / usr / sbin / ip6tables-lova -A MANDRITRA -j MITORITRA
    sudo / usr / sbin / iptables-legacy -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ haylogserver sudo / usr / sbin / iptables-legacy -A INPUT -p tcp -m multiport –dports $ logserver -j LOG> / dev / null
    $ hayeexceptions sudo / usr / sbin / iptables-legacy -A INPUT -s $ maningana -j ACCEPT> / dev / null
    $ hampiato ny mpizara sudo / usr / sbin / iptables-lova -A INPUT -p udp -m multiport –dports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ mampiato ny mpizara sudo / usr / sbin / iptables-lova -A INPUT -p tcp -m multiport –dports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A INPUT -p udp -m multiport –sports $ clientudp -m state –state est est -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A INPUT -p tcp -m multiport –sports $ clienttcp -m state –state napetraka -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ hayping sudo / usr / sbin / iptables-legacy -A INPUT -p icmp –icmp-karazana echo-reply -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-lova -A INPUT -j DROP> / dev / null
    sudo / usr / sbin / iptables-legacy -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ hayeexceptions sudo / usr / sbin / iptables-legacy -A OUTPUT -d $ maningana -j ACCEPT> / dev / null
    $ hampiato ny mpizara sudo / usr / sbin / iptables-lova -A OUTPUT -p udp -m multiport –sports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ mampiato ny mpizara sudo / usr / sbin / iptables-lova -A OUTPUT -p tcp -m multiport –sports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A OUTPUT -p udp -m multiport –dports $ clientudp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A OUTPUT -p tcp -m multiport –dports $ clienttcp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ hayping sudo / usr / sbin / iptables-lova -A OUTPUT -p icmp –fangataha-karazana fangatahana akony -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-legacy -A OUTPUT -j DROPA
    sudo / usr / sbin / iptables-lova -A MANDEHA -j MANDRITRA
    aody iptables-lova azo alefa
    RuNet
    echo Fametrahana iptables-nft
    sudo / usr / sbin / iptables-nft -t sivana -F
    sudo / usr / sbin / iptables-nft -t nat -F
    sudo / usr / sbin / iptables-nft -t mangle -F
    sudo / usr / sbin / ip6tables-nft -t sivana -F
    sudo / usr / sbin / ip6tables-nft -t nat -F
    sudo / usr / sbin / ip6tables-nft -t mangle -F
    sudo / usr / sbin / ip6tables-nft -A INPUT -j DROPA
    sudo / usr / sbin / ip6tables-nft -A OUTPUT -j DROPA
    sudo / usr / sbin / ip6tables-nft -A MANDRITRA -j MITORITRA
    sudo / usr / sbin / iptables-nft -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ haylogserver sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –dports $ logserver -j LOG> / dev / null
    $ hayeexceptions sudo / usr / sbin / iptables-nft -A INPUT -s $ maningana -j ACCEPT> / dev / null
    $ mampihetsika server sudo / usr / sbin / iptables-nft -A INPUT -p udp -m multiport –dports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ mampiato ny mpizara sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –dports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A INPUT -p udp -m multiport –sports $ clientudp -m fanjakana –niorina ny fanjakana -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –sports $ clienttcp -m fanjakana –namarina ny -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ hayping sudo / usr / sbin / iptables-nft -A INPUT -p icmp –icmp-karazana echo-reply -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-nft -A INPUT -j DROP> / dev / null
    sudo / usr / sbin / iptables-nft -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ hayexceptions sudo / usr / sbin / iptables-nft -A OUTPUT -d $ maningana -j ACCEPT> / dev / null
    $ mampihetsika server sudo / usr / sbin / iptables-nft -A OUTPUT -p udp -m multiport –sports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ hampavitrika ny mpizara sudo / usr / sbin / iptables-nft -A OUTPUT -p tcp -m multiport –sports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ alefaso ny client sudo / usr / sbin / iptables-nft -A OUTPUT -p udp -m multiport –dports $ clientudp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A OUTPUT -p tcp -m multiport –dports $ clienttcp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ hayping sudo / usr / sbin / iptables-nft -A OUTPUT -p icmp – fangatahana echo-type -j -mp ACCEPT> / dev / null
    sudo / usr / sbin / iptables-nft -A OUTPUT -j DROPA
    sudo / usr / sbin / iptables-nft -A MANDRITRA -j MITORITRA
    aody iptables-nft azo atao
    RuNet
    $ wet sudo / usr / sbin / iptables-legacy -F> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A INPUT -m fanjakana –miorina ny fanjakana -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A INPUT -j DROP> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A OUTPUT -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A FORWARD -j DROP>> dev / null
    $ wet sudo / usr / sbin / iptables-nft -F> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A INPUT -m fanjakana –miorina ny fanjakana -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A INPUT -j DROP> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A OUTPUT -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A MANDROSO -j DROPA> / dev / null
    ### ----------------
    akony ianao nanipy $ 0 $ 1 $ 2
    # mivoaka ny script
    fivoahana 0

  8.   Luis Duran dia hoy izy:

    Ahoana no hametrahako fitsipika raha io firewall io no mampiasa azy ho an'ny vavahady misy ahy ary misy squid ao anatin'ny LAN ???