Энэхүү энгийн скриптийн 2-р хэсгийг ашиглан iptables ашиглан өөрийн галт хана үүсгээрэй

Галт хана (сүлжээ)

Бүгдээрээ сайн байцгаана уу, өнөөдөр би та бүхэнд хуулж буулгахын тулд iptables бүхий галт ханан дээрх цуврал хичээлүүдийн хоёрдахь хэсгийг хүргэж байна. Энэ өдрийн төгсгөлд бүх эхлэн сурагчид хамгийн их эрэлхийлж, хайж олох болно гэж бодож байна. туршлагатай, яагаад бид дугуйгаа 100 удаа шинээр бүтээх ёстой гэж?

Энэ удаад би галт хана маань OUTPUT DROP бодлогын дагуу илүү түрэмгий байхыг хүсч байгаа эсэх тухай тодорхой тохиолдол дээр анхаарлаа төвлөрүүлж үзээрэй гэж хэлье. Энэ бичлэгийг мөн энэ хуудсыг уншигчийн хүсэлтээр болон миний оруулсан бичлэгээр оруулсан болно. (Миний оюун ухаанд wiiiiiiiiiiiii)

Output Drop бодлогыг бий болгох "давуу ба сул талууд" -ын талаар бага зэрэг ярья. Үүний эсрэг би энэ ажлыг голчлон ажлыг илүү уйтгартай, хүнд болгодог гэдгийг хэлж чадна, гэхдээ давуу тал нь сүлжээний түвшинд байх болно. Хэрэв та сууж байсан бол аюулгүй байдал Бодлогоо сайн бодож, төлөвлөж, төлөвлөхийн тулд танд илүү найдвартай сервер байх болно.

Энэ сэдвийг хөндөхгүй байх, хөндийрөхгүйн тулд би танай дүрмүүд хэрхэн илүү их эсвэл бага байх ёстойг жишээ болгон хурдан тайлбарлах болно.

iptables -A OUTPUT -o eth0 -p tcp - sport 80 -m state-state ESTABLISHED -j ХҮЛЭЭХ
-A Учир нь бид дүрмийг нэмж оруулсан
-o нь гадагшаа чиглэсэн урсгалыг хэлдэг бөгөөд хэрэв тэдгээр нь бүгд таарч байгаа тул заагаагүй бол интерфэйсийг байрлуулна.
-спорт гарал үүслийн порт нь чухал үүрэг гүйцэтгэдэг, учир нь ихэнх тохиолдолд бид аль боомтоос хүсэлт гаргахаа мэдэхгүй байгаа тул dport ашиглаж болох юм.
–Дпорт очих порт, гарах холболт нь зөвхөн тодорхой порт руу очих ёстойг урьдчилан мэдэж байх үед. Энэ нь алсын mysql сервер гэх мэт маш тодорхой зүйлд зориулагдсан байх ёстой.
-м муж улсыг байгуулав Энэ нь аль хэдийн байгуулагдсан холболтыг хадгалах чимэглэл болсон бөгөөд бид үүнийг дараачийн бичлэгт оруулж болно
-d очих газрын талаар ярих, хэрэв үүнийг зааж өгч болох бол, жишээ нь ssh-ийг тодорхой машин руу ip-ээр нь зааж өгөх

#!/bin/bash

# Бид iptables хүснэгтүүдийг цэвэрлэв -F iptables -X # PPPoE, PPP, ATM iptables -t mangle -F iptables -t mangle -X зэрэг NAT хүснэгтүүдийг -t nat -F iptables -t nat -X # mangle хүснэгтийг цэвэрлэнэ. # Бодлогууд Энэ нь эхлэгчдэд зориулсан хамгийн сайн арга гэж бодож байна, гэхдээ # муу биш, гаралтын холболтыг бүгдийг нь тайлбарлаж өгөх болно, оролт нь бид бүх зүйлийг хаядаг, ямар ч сервер дамжуулах ёсгүй. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Keep state. Аль хэдийн холбогдсон (байгуулагдсан) бүх зүйлийг бид үүнийг үлдээнэ iptables -A INPUT -m state - state ESTABLISHED, RELATED -j ХҮЛЭЭХ
iptables -A OUTPUT -m төлөв - муж байгуулагдсан, ХОЛБООТОЙ -j ХҮЛЭЭН АВНА
# Давталтын төхөөрөмж. iptables -A INPUT -i lo -j ХҮЛЭЭН АВАХ
# Iptables loopback гаралт -A OUTPUT -o lo -j ХҮЛЭЭХ

# http, https, бид интерфэйсийг заагаагүй тул бид үүнийг бүх iptables болгохыг хүсч байна -A INPUT -p tcp --dport 80 -j ACPTPT iptables -A INPUT -p tcp --dport 443 -j ХҮЛЭЭХ
# явах
# http, https, бид интерфэйсийг заагаагүй тул
# бид үүнийг бүгдэд ашиглахыг хүсч байна, гэхдээ гаралтын портыг зааж өгвөл
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# ssh нь зөвхөн дотооддоо болон энэ ip-ийн iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ХҮЛЭЭХ
# дотооддоо болон энэ хүрээний ip-ээс # ssh гаргана
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ХҮЛЭЭН АВАХ
# жишээ нь zabbix эсвэл бусад snmp үйлчилгээтэй iptables -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j ХҮЛЭЭН АВАХ
# явах
жишээ нь zabbix эсвэл бусад snmp үйлчилгээтэй бол # хяналт
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j ХҮЛЭЭН АВАХ

# icmp, ping good бол таны шийдвэр юм iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ХҮЛЭЭХ
# явах
# icmp, ping good бол таны шийдвэр юм
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j ХҮЛЭЭН АВАХ

#mysql нь postgres бүхий порт юм 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# гаралт - хэрэглэгчээс маш тодорхой # дүрмийн сервер хийхийг хүссэн асуулт: 192.168.1.2 mysql: 192.168.1.3
Postgres бүхий #mysql нь 5432 порт юм
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j ХҮЛЭЭН АВАХ

Хэрэв та зарим захидал илгээхийг хүсвэл #sendmail bueeeh #iptables -A OUTPUT -p tcp --dport 25 -j ХҮЛЭЭН АВЧ # Anti-SPOUFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - the real wan ip таны LAN_RANGE сервер = "192.168.xx / 21" # Сүлжээний LAN муж эсвэл таны vlan # IP нь хэзээ ч гадны сүлжээнд орох ёсгүй бөгөөд энэ нь цэвэр WAN интерфэйстэй бол # логикийг ашиглах явдал юм. тухайн интерфейсээр дамжуулан # траффик LAN төрлийг оруулна уу SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Default action - any дүрэм таарч байвал ACTION = "DROP" # wan iptables-ээр дамжуулан миний сервертэй ижил ip бүхий пакетууд -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION

LAN LAN мужтай # пакетууд, хэрэв танд # тодорхой сүлжээ байгаа бол ийм байдлаар оруулав, гэхдээ энэ нь "for" давталтын iptables доторх дараахь # дүрмээс илүү байх болно -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION

## Бүх SPOOF сүлжээнд $ SPOOF_IPS-д ip ашиглахыг зөвшөөрдөггүй, iptables хийдэг -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
дууссаныхаа

Дараагийн тоймд бид боомтын хүрээг хийж, нэрээр нь ангилж, бусад зүйлсийн дагуу бодлогыг бий болгоно ... Таны сэтгэгдэл, хүсэлтийг хүлээж байна.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.