ഈ ലളിതമായ സ്ക്രിപ്റ്റ് ഭാഗം 2 ഉപയോഗിച്ച് iptables ഉപയോഗിച്ച് നിങ്ങളുടെ സ്വന്തം ഫയർവാൾ സൃഷ്ടിക്കുക

ഫയർവാൾ_ (നെറ്റ്‌വർക്കിംഗ്)

എല്ലാവരേയും ഹലോ, ഇന്ന്‌ ഞാൻ‌ ഫയർ‌വാളിലെ ട്യൂട്ടോറിയലുകളുടെ രണ്ടാം ഭാഗം ഐ‌പ്ടേബിളുകൾ‌ ഉപയോഗിച്ച് നിങ്ങളുടെ അടുത്ത് കൊണ്ടുവരുന്നു, അതിനാൽ‌ നിങ്ങൾ‌ക്ക് പകർ‌ത്തി ഒട്ടിക്കാൻ‌ കഴിയും, വളരെ ലളിതമാണ്, ദിവസാവസാനത്തോടെ എല്ലാ തുടക്കക്കാരും തിരയുന്നത് അല്ലെങ്കിൽ‌ ഏറ്റവും കൂടുതൽ‌ പരിചയസമ്പന്നർ, എന്തുകൊണ്ടാണ് ഞങ്ങൾ 100 തവണ ചക്രം പുനർനിർമ്മിക്കേണ്ടത്, അല്ലേ?

U ട്ട്‌പുട്ട് ഡ്രോപ്പ് പോളിസി ഉപയോഗിച്ച് ഞങ്ങളുടെ ഫയർവാൾ കൂടുതൽ ആക്രമണാത്മകമാകാൻ ഞങ്ങൾ ആഗ്രഹിക്കുന്നുണ്ടോ എന്നതിന്റെ പ്രത്യേക സാഹചര്യത്തിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കാൻ ഞാൻ അവരോട് പറയുന്നു. ഈ പേജിന്റെയും എന്റെ കുറിപ്പിന്റെയും ഒരു വായനക്കാരന്റെ അഭ്യർത്ഥനയിലാണ് ഈ കുറിപ്പ്. (എന്റെ മനസ്സിനുള്ളിൽ Wiiiiiiiiiiiiii)

Put ട്ട്‌പുട്ട് ഡ്രോപ്പ് നയങ്ങൾ സ്ഥാപിക്കുന്നതിന്റെ "ഗുണദോഷങ്ങളെക്കുറിച്ച്" നമുക്ക് കുറച്ച് സംസാരിക്കാം, എനിക്ക് നിങ്ങളോട് പറയാൻ കഴിയുന്ന ഒന്ന്, ഇത് ജോലിയെ കൂടുതൽ മടുപ്പിക്കുന്നതും അധ്വാനിക്കുന്നതും ആക്കുന്നു എന്നതാണ്, എന്നിരുന്നാലും നെറ്റ്വർക്ക് തലത്തിൽ നിങ്ങൾക്ക് സുരക്ഷ ഉണ്ടായിരിക്കുമെന്നതാണ് പ്രോ നയങ്ങൾ നന്നായി ചിന്തിക്കാനും രൂപകൽപ്പന ചെയ്യാനും ആസൂത്രണം ചെയ്യാനും നിങ്ങൾക്ക് കൂടുതൽ സുരക്ഷിതമായ സെർവർ ലഭിക്കും.

വിഷയം മാറ്റുകയോ ഒഴിവാക്കുകയോ ചെയ്യാതിരിക്കാൻ, നിങ്ങളുടെ നിയമങ്ങൾ എത്രയോ കുറവോ ആയിരിക്കണമെന്ന് ഞാൻ ഒരു ഉദാഹരണം ഉപയോഗിച്ച് വേഗത്തിൽ വിശദീകരിക്കാൻ പോകുന്നു

iptables -A OUTPUT -o eth0 -p tcp –Sport 80 -m state -state ESTABLISHED -j ACCEPT
-A കാരണം ഞങ്ങൾ നിയമം ചേർത്തു
-o b ട്ട്‌ബ ound ണ്ട് ട്രാഫിക്കിനെ സൂചിപ്പിക്കുന്നു, തുടർന്ന് ഇന്റർഫേസ് വ്യക്തമാക്കിയിട്ടില്ലെങ്കിൽ അത് സ്ഥാപിക്കുന്നു.
-സ്പോർട്ട് പോർട്ട് ഓഫ് ഒറിജിൻ ഒരു പ്രധാന പങ്ക് വഹിക്കുന്നു, കാരണം മിക്ക കേസുകളിലും അവർ ഏത് പോർട്ടിൽ നിന്നാണ് അഭ്യർത്ഥന നടത്താൻ പോകുന്നതെന്ന് ഞങ്ങൾക്ക് അറിയില്ല, അങ്ങനെയാണെങ്കിൽ ഞങ്ങൾക്ക് dport ഉപയോഗിക്കാം
–ഡോർപോർട്ട് ലക്ഷ്യസ്ഥാന പോർട്ട്, going ട്ട്‌ഗോയിംഗ് കണക്ഷൻ ഒരു നിർദ്ദിഷ്ട പോർട്ടിലേക്ക് മാത്രമേ പോകാവൂ എന്ന് മുൻകൂട്ടി അറിയുമ്പോൾ. ഉദാഹരണത്തിന് ഒരു വിദൂര mysql സെർവർ പോലെ വളരെ നിർദ്ദിഷ്ടമായ ഒന്നിനായിരിക്കണം ഇത്.
-m സ്റ്റേറ്റ് –സ്റ്റേറ്റ് സ്ഥാപിച്ചു ഇത് ഇതിനകം തന്നെ സ്ഥാപിതമായ കണക്ഷനുകൾ പരിപാലിക്കുന്നതിനുള്ള ഒരു അലങ്കാരമാണ്, ഭാവി പോസ്റ്റിൽ ഞങ്ങൾക്ക് ഇത് പരിശോധിക്കാം
-d ലക്ഷ്യസ്ഥാനത്തെക്കുറിച്ച് പറയാൻ, അത് വ്യക്തമാക്കാൻ കഴിയുമെങ്കിൽ, ഉദാഹരണത്തിന് ഒരു നിർദ്ദിഷ്ട മെഷീനിലേക്ക് അതിന്റെ ഐപി ഉപയോഗിച്ച് ssh ചെയ്യുക

#!/bin/bash

# ഞങ്ങൾ iptables പട്ടികകൾ വൃത്തിയാക്കുന്നു -F iptables -X # PPPoE, PPP, ATM iptables -t mangle -F iptables -t mangle -X എന്നിവപോലുള്ള കാര്യങ്ങൾക്കായി ഞങ്ങൾ NAT iptables -t nat -F iptables -t nat -X # mangle table വൃത്തിയാക്കുന്നു. # നയങ്ങൾ തുടക്കക്കാർക്കുള്ള ഏറ്റവും നല്ല മാർഗമാണിതെന്നും # ഇപ്പോഴും മോശമല്ലെന്നും ഞാൻ output ട്ട്‌പുട്ട് (output ട്ട്‌പുട്ട്) എല്ലാം വിശദീകരിക്കും കാരണം അവ out ട്ട്‌ഗോയിംഗ് കണക്ഷനുകളാണ് #, ഇൻപുട്ട് ഞങ്ങൾ എല്ലാം നിരസിക്കുന്നു, ഒരു സെർവറും മുന്നോട്ട് പോകരുത്. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # അവസ്ഥ നിലനിർത്തുക. ഇതിനകം കണക്റ്റുചെയ്‌തിരിക്കുന്ന എല്ലാം (സ്ഥാപിച്ചു) ഞങ്ങൾ ഇത് ഈ ഐപ്‌ടേബിളുകൾ പോലെ ഉപേക്ഷിക്കുന്നു -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
# ലൂപ്പ് ഉപകരണം. iptables -A INPUT -i lo -j ACCEPT
# Iptables ലൂപ്പ്ബാക്ക് output ട്ട്‌പുട്ട് -A OUTPUT -o lo -j ACCEPT

# http, https, ഞങ്ങൾ‌ ഇന്റർ‌ഫേസ് വ്യക്തമാക്കുന്നില്ല, കാരണം # ഇതെല്ലാം iptables ആയിരിക്കണം
# പുറപ്പെടൽ
# http, https, കാരണം ഞങ്ങൾ ഇന്റർഫേസ് വ്യക്തമാക്കുന്നില്ല
# all ട്ട്‌പുട്ട് പോർട്ട് വ്യക്തമാക്കുകയാണെങ്കിൽ അത് എല്ലാവർക്കുമായിരിക്കണമെന്ന് ഞങ്ങൾ ആഗ്രഹിക്കുന്നു
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# ssh ആന്തരികമായും ഐ‌പിയുടെ ഐ‌പ്ടേബിളുകളുടെ ശ്രേണിയിൽ‌ നിന്നും -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT
# output ട്ട്‌പുട്ട് # ssh ആന്തരികമായും ഈ ip ശ്രേണിയിൽ നിന്നും മാത്രം
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ACCEPT
# മോണിറ്ററിംഗ് ഉദാഹരണത്തിന് അവർക്ക് സാബ്ബിക്സോ മറ്റേതെങ്കിലും എസ്എൻ‌എം‌പി സേവന ഐ‌ടേബിളുകളോ ഉണ്ടെങ്കിൽ -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j ACCEPT
# പുറപ്പെടൽ
# മോണിറ്ററിംഗ് ഉദാഹരണത്തിന് അവർക്ക് സാബിക്സ് അല്ലെങ്കിൽ മറ്റേതെങ്കിലും snmp സേവനം ഉണ്ടെങ്കിൽ
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j ACCEPT

# icmp, പിംഗ് നിങ്ങളുടേതാണ് iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# പുറപ്പെടൽ
# icmp, പിംഗ് നല്ലത് നിങ്ങളുടെ തീരുമാനമാണ്
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPT

പോസ്റ്റ്ഗ്രെസുള്ള #mysql പോർട്ട് 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# output ട്ട്‌പുട്ട് - ഒരു നിർദ്ദിഷ്ട # റൂൾ സെർവർ നിർമ്മിക്കാൻ ഒരു ഉപയോക്താവ് ചോദിക്കുന്ന ചോദ്യം: 192.168.1.2 mysql: 192.168.1.3
പോസ്റ്റ്ഗ്രെസുള്ള #mysql പോർട്ട് 5432 ആണ്
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j ACCEPT

#sendmail bueeeh നിങ്ങൾക്ക് കുറച്ച് മെയിൽ അയയ്ക്കണമെങ്കിൽ നിങ്ങളുടെ സെർവറിന്റെ LAN_RANGE = "25.xx / 09" # നിങ്ങളുടെ നെറ്റ്‌വർക്കിന്റെ LAN ശ്രേണി അല്ലെങ്കിൽ എക്‌സ്ട്രാനെറ്റിൽ ഒരിക്കലും പ്രവേശിക്കാൻ പാടില്ലാത്ത നിങ്ങളുടെ vlan # IP- കൾ, ഞങ്ങൾക്ക് പൂർണ്ണമായും WAN ഇന്റർഫേസ് ഉണ്ടെങ്കിൽ അത് കുറച്ച് # ലോജിക് ഉപയോഗിക്കുക എന്നതാണ്, അത് ഒരിക്കലും ആ ഇന്റർഫേസിലൂടെ # ട്രാഫിക് ലാൻ തരം നൽകുക SPOOF_IPS = "07/2014 190/192.168 21/0.0.0.0 8/127.0.0.0 8/10.0.0.0" # സ്ഥിരസ്ഥിതി പ്രവർത്തനം - ഏതെങ്കിലും നിയമം പൊരുത്തപ്പെടുമ്പോൾ നടപ്പിലാക്കേണ്ട ACTION = "ഡ്രോപ്പ്" # വാൻ ഐപ്‌ടേബിളുകളിലൂടെ എന്റെ സെർവറിന് സമാനമായ ഐപിയുള്ള പാക്കറ്റുകൾ -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION

# WAN നായി LAN റേഞ്ചുള്ള പാക്കറ്റുകൾ‌, നിങ്ങൾ‌ക്ക് # ഏതെങ്കിലും പ്രത്യേക നെറ്റ്‌വർ‌ക്ക് ഉണ്ടെങ്കിൽ‌ ഞാൻ‌ ഇതുപോലെയാണ്‌ ഇടുന്നത്, പക്ഷേ "ഫോർ‌" ലൂപ്പിനുള്ളിലെ ഇനിപ്പറയുന്ന # റൂൾ‌ ഉപയോഗിച്ച് ഇത് അനാവശ്യമാണ് -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION

## SP SPOOF_IPS ലെ ഐപിക്കായി wan അനുവദിക്കാത്ത എല്ലാ SPOOF നെറ്റ്‌വർക്കുകളും iptables ചെയ്യുന്നു -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
ചെയ്തു

അടുത്ത അവലോകനത്തിൽ ഞങ്ങൾ പോർട്ട് ശ്രേണി നടത്തുകയും പേരുകൾ ക്രമീകരിച്ച് നയങ്ങൾ സ്ഥാപിക്കുകയും ചെയ്യും ... നിങ്ങളുടെ അഭിപ്രായങ്ങളും അഭ്യർത്ഥനകളും ഞാൻ കാത്തിരിക്കുന്നു.


ലേഖനത്തിന്റെ ഉള്ളടക്കം ഞങ്ങളുടെ തത്ത്വങ്ങൾ പാലിക്കുന്നു എഡിറ്റോറിയൽ എത്തിക്സ്. ഒരു പിശക് റിപ്പോർട്ടുചെയ്യാൻ ക്ലിക്കുചെയ്യുക ഇവിടെ.

അഭിപ്രായമിടുന്ന ആദ്യയാളാകൂ

നിങ്ങളുടെ അഭിപ്രായം ഇടുക

നിങ്ങളുടെ ഇമെയിൽ വിലാസം പ്രസിദ്ധീകരിച്ചു ചെയ്യില്ല. ആവശ്യമായ ഫീൽഡുകൾ കൊണ്ട് അടയാളപ്പെടുത്തുന്നു *

*

*

  1. ഡാറ്റയുടെ ഉത്തരവാദിത്തം: മിഗുവൽ ഏഞ്ചൽ ഗാറ്റൻ
  2. ഡാറ്റയുടെ ഉദ്ദേശ്യം: സ്പാം നിയന്ത്രിക്കുക, അഭിപ്രായ മാനേജുമെന്റ്.
  3. നിയമസാധുത: നിങ്ങളുടെ സമ്മതം
  4. ഡാറ്റയുടെ ആശയവിനിമയം: നിയമപരമായ ബാധ്യതയല്ലാതെ ഡാറ്റ മൂന്നാം കക്ഷികളുമായി ആശയവിനിമയം നടത്തുകയില്ല.
  5. ഡാറ്റ സംഭരണം: ഒസെന്റസ് നെറ്റ്‌വർക്കുകൾ (ഇയു) ഹോസ്റ്റുചെയ്യുന്ന ഡാറ്റാബേസ്
  6. അവകാശങ്ങൾ: ഏത് സമയത്തും നിങ്ങളുടെ വിവരങ്ങൾ പരിമിതപ്പെടുത്താനും വീണ്ടെടുക്കാനും ഇല്ലാതാക്കാനും കഴിയും.