हा सोपा स्क्रिप्ट भाग २ वापरुन इप्टेबल्ससह आपले स्वतःचे फायरवॉल तयार करा

सर्वांना नमस्कार, आज मी तुमच्याकडे फायरवॉलवरील ट्यूटोरियलच्या मालिकांच्या दुसर्‍या भागासह आयपटेबल्ससह घेऊन आलो आहे, जेणेकरून तुम्ही कॉपी आणि पेस्ट करू शकता, मला असे वाटते की दिवसाच्या शेवटी असे दिसते की सर्व नवशिक्यांसाठी किंवा अगदी अनुभवी देखील, का आम्हाला चाक 100 वेळा पुन्हा बदलावा लागेल, बरोबर?

यावेळी मी त्यांना सांगतो की आमच्या फायरवॉलने OUTPUT DROP धोरणामुळे अधिक आक्रमक व्हावे की नाही या अगदी विशिष्ट प्रकरणात लक्ष केंद्रित करण्याचा प्रयत्न करा. हे पोस्ट या पृष्ठाच्या वाचकांच्या आणि माझ्या पोस्टच्या विनंतीनुसार आहे. (माझ्या मनाच्या आत वायइइइइइइइइइइइइआय)

आउटपुट ड्रॉप पॉलिसीज स्थापन करण्याच्या "साधक आणि बाधकांबद्दल" थोडेसे बोलूया, ज्याबद्दल मी तुम्हाला सांगू शकतो ते म्हणजे नोकरीला अधिक त्रासदायक आणि कष्टकरी बनवते, तथापि आपण बसलो तर नेटवर्क पातळीवर आपल्याला सुरक्षा मिळेल धोरणांचे विचार, डिझाइन आणि योजना आखण्यासाठी आपल्याकडे अधिक सुरक्षित सर्व्हर असेल.

विषय गोंधळ होऊ नये किंवा विषय उतरु नये यासाठी मी आपले नियम किती किंवा कमी प्रमाणात असावेत हे मी एका उदाहरणासह पटकन सांगत आहे.

iptables -A OUTPUT -o eth0 -p tcp - 80 -m state -state ESTABLISHED -j ACCEPT
-A कारण आम्ही नियम जोडला
-o आउटबाउंड रहदारीचा संदर्भ देते, तर इंटरफेस निर्दिष्ट केला नसल्यास तो ठेवला जातो कारण तो त्या सर्वांशी जुळत आहे.
स्पोर्ट मूळ बंदर, महत्वाची भूमिका बजावते कारण बहुतेक प्रकरणांमध्ये ते आम्हाला माहित नसतात की ते कोणत्या बंदरातून विनंती करणार आहेत, जर आम्ही डीपोर्ट वापरू शकलो तर
-डिपोर्ट गंतव्य पोर्ट, जेव्हा आम्हाला विशेषतः आगाऊ माहिती असते की आउटगोइंग कनेक्शन केवळ एका विशिष्ट बंदरात जाणे आवश्यक आहे. हे उदाहरणार्थ रिमोट मायस्क्यूएल सर्व्हरसारख्या विशिष्ट गोष्टीसाठी असले पाहिजे.
-म स्टेट स्टेट एस्टेबलिडेड आधीपासून स्थापित कनेक्शनची देखभाल करण्याचा हा आधीपासूनच शोभा आहे, आम्ही त्यास भविष्यातील पोस्टमध्ये शोधू शकतो
-d गंतव्यस्थान बोलण्यासाठी, ते निर्दिष्ट केले असल्यास, उदाहरणार्थ त्याच्या आयपी द्वारे विशिष्ट मशीनवर एस.एस.एस.

#!/bin/bash

# आम्ही आयपीटेबल्स टेबल -F iptables -X # आम्ही NAT iptables -t nat -F iptables -t nat -X # पीपीपीओई, पीपीपी आणि एटीएम iptables-t मंगळ -F iptables-t मंगळ-X # धोरणांसाठी साफ करतो मला वाटते की नवशिक्यांसाठी हा सर्वात चांगला मार्ग आहे आणि # अद्याप वाईट नाही, मी आउटपुट (आउटपुट) सर्वांचे स्पष्टीकरण देऊ कारण ते आउटगोइंग कनेक्शन आहेत #, इनपुट आम्ही सर्वकाही टाकतो आणि कोणत्याही सर्व्हरने अग्रेषित करू नये. iptables -P इनपुट ड्रॉप iptables -P OUTPUT ड्रॉप iptables -P फॉरवर्ड ड्रॉप #Intranet लॅन इंट्रानेट = eth0 #Extranet वान extranet = eth1 # स्थिती ठेवा. आधीपासून कनेक्ट केलेले सर्व काही (स्थापित केलेले) आम्ही ते या iptables प्रमाणेच ठेवतो - एक इनपुट-एम स्टेट - स्टेट एस्टेब्लिशेड, रिलेटेड -जे एसीपीटी
iptables -A OUTPUT -m state - EstabLISHED, संबंधित -j प्रवेश करा
# लूप डिव्हाइस. iptables -A इनपुट -i लो -j ACCEPT
# आयटेबल्स लूपबॅक आउटपुट -एआउटपुट -ओ लो -जे एसीसीपीटी

# http, https, आम्ही इंटरफेस निर्दिष्ट करत नाही कारण # आम्ही ते सर्व iptables व्हावे अशी इच्छा आहे -ए INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# प्रस्थान
# http, https, आम्ही इंटरफेस निर्दिष्ट करत नाही कारण
# आम्हाला ते सर्वांसाठीच हवे आहे परंतु आउटपुट पोर्ट निर्दिष्ट केल्यास
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# ssh केवळ अंतर्गत आणि आयपी च्या iptables या श्रेणी पासून -ए इनपुट-पी टीसीपी -s 192.168.xx / 24 -i $ इंट्रानेट --dport 7659 -j एसीसीईपीटी
# आउटपुट # ssh केवळ अंतर्गत आणि आयपी च्या या श्रेणीतून
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ इंट्रानेट --sport 7659 -j ACCEPT
# उदाहरणार्थ त्यांच्याकडे झॅबिक्स किंवा इतर काही स्नॅप सर्व्हिस इप्टेबल्स असल्यास -एन इनपुट -p टीसीपी -s 192.168.1.1 -i $ इंट्रानेट --डपोर्ट 10050 -j एसीसीईपीटी
# प्रस्थान
# उदाहरणार्थ त्यांचेकडे झॅबिक्स किंवा इतर काही स्नॅप सेवा असल्यास निरीक्षण करणे
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ इंट्रानेट --dport 10050 -j ACCEPT

# आयसीएमपी, पिंग आपल्यावर iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ इंट्रानेट -j ACCEPT आहे
# प्रस्थान
# आयसीएमपी, पिंग गुड हा आपला निर्णय आहे
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ इंट्रानेट -j एसीसीपीटी

पोस्टग्रेससह #mysql हे पोर्ट 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ इंट्रानेट -j एसीसीपीटी आहे
# आउटपुट - वापरकर्त्याने अगदी विशिष्ट # नियम सर्व्हर बनविण्यासंबंधित प्रश्न विचारला: 192.168.1.2 mysql: 192.168.1.3
पोस्टग्रेससह #mysql हे पोर्ट 5432 आहे
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ इंट्रानेट -j ACCEPT

#sendmail bueeeh जर आपण काही मेल पाठवू इच्छित असाल तर #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # एंटी-स्पोफिंग 09/07/2014 # सर्व्हर आयआयपी = "190.xxx" # सर्व्हर आयपी - आपल्यास वास्तविक व्हॅन ip LAN_RANGE सर्व्हर = "192.168.xx / 21" # आपल्या नेटवर्कची लॅन रेंज किंवा आपल्या व्हॅलन # आयपी ने कधीही एक्स्ट्रानेटमध्ये प्रवेश करू नये, जर आपल्याकडे पुर्ण WAN इंटरफेस असेल तर तो थोडा # लॉजिक वापरणे आहे, ते # रहदारी कधीही प्रवेश करू नये त्या इंटरफेसद्वारे लॅन प्रकार SPOOF_IP = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # डीफॉल्ट क्रिया - जेव्हा कोणताही नियम ACTION = शी जुळत असेल तेव्हा केली जाईल " वान iptables- ए इनपुट -i $ एक्सट्रॅनेट-एस $ SERVER_IP -j $ कृतीद्वारे माझ्या सर्व्हर प्रमाणेच ip सह पॅकेट ड्रॉप करा
iptables -A OUTPUT -o $ एक्स्ट्रानेट -s ER SERVER_IP -j $ क्रिया

# वॅनसाठी लॅन रेंजसह असलेली पॅकेट्स, जर आपल्याकडे काही विशिष्ट नेटवर्क असेल तर मी हे असे ठेवले आहे, परंतु "फॉर" लूप इप्टेबल्सच्या अंतर्गत # नियमानुसार हे निरर्थक आहे -ए इनपुट-आय $ एक्सट्रॅनेट-एस $ लॅन_रेंज -j CTION क्रिया
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ क्रिया

## सर्व एसपीओओएफ नेटवर्कला ip एसपीओओएफआयपीएस iptables -A इनपुट -i $ एक्स्ट्रानेट-से $ ip -j $ CTIONक्शन मधील आयपी साठी परवानगी नाही
iptables -A OUTPUT -o $ एक्सट्रॅनेट -s ip -j $ क्रिया
पूर्ण झाले

पुढील पुनरावलोकनात आम्ही पोर्ट श्रेणी करू आणि अन्य गोष्टींबरोबरच नावानुसार आयोजित धोरणे देखील स्थापित करू ... मी आपल्या टिप्पण्या आणि विनंत्यांची प्रतीक्षा करीत आहे.