iptables, приближение к реальному случаю

Цель этого урока - контролировать нашу сеть, избегая раздражения со стороны какого-либо другого «нежелательного гостя», который изнутри хочет распилить пол (кубинское выражение, которое означает беспокоить, трахаться и т. д.), вируса «упаковщика», внешних атак или просто ради удовольствия узнать, что мы может спать спокойно.

примечание: Запомните политики iptables, ПРИНИМАЙТЕ все или ОТКАЗЫВАЙТЕ все, они могут быть полезны в одних случаях и не в других, это зависит от нас, что все, что происходит в сети, является нашим делом, и только нашим, да, вашим, мой, от того, кто прочитал руководство, но не знает, как его запустить, или от того, кто прочитал его и применил его слишком хорошо.

Ездить ты останься !!!

Во-первых, нужно знать, какой порт занимает каждая служба на компьютере с установленным GNU / Linux, для этого вам не нужно никого спрашивать, участвовать в поиске в Google или консультироваться с ученым по этому вопросу, просто прочтите файл. . Маленький файл? Ну да, небольшой файл.

/ etc / services

Но что в нем содержится / etc / services?

Очень просто, описание всего услуги и порты Существуют для этих служб либо по TCP, либо по UDP, организованным и восходящим образом. Указанные услуги и порты были объявлены IANA (Internet Assigned Numbers Authority).

Играем с iptables

В качестве первых шагов у нас будет ПК, который будет тестовой машиной, назовите его как хотите, Люси, Карла или Наоми, я назову его Бесси.

ситуация:

Что ж, Бесси - это проектная машина, у которой будет VSFTPd установленный, OpenSSH бег, и Apache2 который был установлен один раз для тестирования (тест производительности), но теперь используется только вместе с PHPMYADMIN управлять базами данных MySQL которые время от времени используются внутри компании.

Заметки взять:

Ftp, ssh, apache2 и mysql - это службы, которые получают запросы на этом ПК, поэтому мы должны учитывать порты, которые они используют.

Если я не ошибаюсь и / etc / services не врет xD, ftp использует порт 20 и 21, ssh по умолчанию 22 или какой-то другой, если он был определен в конфигурации (в другом посте я расскажу о том, как настроить SSH немного больше, чем обычно известно), Apache 80 или 443, если он с SSL, и MySQL 3306.

Теперь нам нужна еще одна деталь, IP-адреса ПК, которые будут взаимодействовать с Бесси, чтобы наши пожарные между собой не наступали на шланги (означает отсутствие конфликта, ха-ха).

Пепе, разработчик PHP + MySQL, будет иметь доступ только к портам 20-21, 80, 443 и 3306, Фрэнк, что его задача - обновить веб-страницу проекта, который будет доставлен в течение месяца, у него будет только доступ на порт 80/443 и 3306, если вам нужно внести какие-либо исправления в БД, и у меня будет доступ ко всем ресурсам на сервере (и я хочу защитить логин с помощью ssh по IP и MAC). Мы должны активировать пинг на случай, если в какой-то момент мы захотим опросить машину. Наша сеть относится к классу C типа 10.8.0.0/16.

Мы запустим простой текстовый файл с именем firewall.sh в котором он будет содержать следующее:

Вставить No 4446 (Скрипт iptables)

Итак, с помощью этих строк вы разрешаете доступ участникам DevTeam, защищаете себя и защищаете ПК, я думаю, лучше объяснить, даже не во сне. Осталось только дать ему права на выполнение, и все будет готово к работе.

Существуют инструменты, которые с помощью красивого графического интерфейса позволяют начинающим пользователям настраивать брандмауэр своих компьютеров, например «BadTuxWall», для которого требуется Java. Также FwBuilder, QT, который уже обсуждался здесь, или "Firewall-Jay" с интерфейсом в ncurses. По моему личному мнению, мне нравится делать это простым текстом, поэтому я заставляю себя учиться.

Вот и все, до скорой встречи, чтобы продолжить объяснение, вздор какой-то другой конфигурации, процесса или услуги.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

6 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Родольфо Алехандро сказал

    отлично жду ssh привет, хороший пост, привет.

  2.   Фаустод сказал

    Мне это нравится, я подготовлю свои вопросы ...

  3.   nwt_lazaro сказал

    # Разрешить вход на IP-адрес 192.168.0.15 с физическим адресом 00: 01: 02: 03: 04: 05

    iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m state –state NEW -j ACCEPT

    Если вы хотите добавить больше IP- и Mac-адресов, вам нужно будет вставить другую строку INPUT, изменяя IP- и Mac-адреса соответственно.

  4.   nwt_lazaro сказал

    Изменить: поскольку WordPress не поддерживает двойные дефисы, в следующих частях команды были двойные дефисы
    - - mac-source 00:01…
    - - порт 22 ...
    - - состояние NEW ...

    1.    КЗКГ ^ Гаара сказал

      Если вы хотите, вы можете использовать теги «code», здесь вы помещаете код «/ code», и два скрипта будут работать отлично 😉
      Очевидно, заменяя «и» на символы меньшего-чего и большего-чего.

  5.   @Jlcmux сказал

    Вопрос. Когда вы устанавливаете сервер, будь то ssh или apache или что-то еще. Порт не открывается сам по себе? В чем разница между тем, чтобы оставить его вот так или вот так открыть?