هيلو سڀي ، ا I آئون توهان کي فائر وال وال تي هن سبق جو هڪ ٻيو حصو آئي ٽاپس سان گڏ لايان ٿو ، ڏا simpleو سادو آهي ته توهان ڪاپي ۽ پيسٽ ڪري سگھوٿا ، منهنجو خيال آهي ته ڏينهن جي آخر ۾ اهو هوندو آهي جيڪو تمام شروعات ڪندڙ ڳوليندا آهن يا اڃا به تمام گهڻا تجربيڪار ، ڇو اسان کي 100 ڀيرا ويلڊ کي ٻيهر بڻائڻو آهي ، صحيح؟
هن ڀيري آئون انهن کي ٻڌائڻ جي ڪوشش ڪريان ٿو خاص نموني تي ڌيان ڏيڻ جي ته ڇا اسان چاهيون ٿا ته اسان جي فائر وال هڪ OUTPUT DROP پاليسي سان وڌيڪ جارحيت ٿي. اها پوسٽ پڻ هن پيج جي منهنجي پڙهندڙ ۽ منهنجي پوسٽ جي درخواست تي آهي. (منهنجي دماغ اندر wiiiiiiiiiiiii)
اچو ته ننputي ڳالھ ڪريو ـ آؤٹ پَپ ڊراپ پاليسين کي قائم ڪرڻ جي ”نقصانن ۽ نقصانن“ جي باري ۾ ، جنهن کي آئون توهان کي ٻڌائي سگهان ٿو اها آهي ته هن نوڪري کي تمام ڏکوئيندڙ ۽ محنتي بڻائي ٿي ، حالانڪه پرو اهو آهي ته نيٽ ورڪ جي سطح تي توهان جي سيڪيورٽي هوندي جيڪڏهن توهان ويهندا. سوچڻ ، ڊزائين ڪرڻ ۽ پاليسين کي سٺي نموني جوڙڻ ، توھان وٽ ھڪڙو وڌيڪ محفوظ سرور ھوندو.
موضوع کي تعريف نه ڪرڻ يا هيٺ نڪرڻ لاءِ ، مان توهان کي هڪ مثال سان جلدي وضاحت ڪرڻ وارا آهيان ، توهان جا قاعدا ڪيترا يا گهٽ هئڻ گهرجن.
iptables -A OUTPUT -o eth0 -p tcp -port 80 -m رياست-اسٽيٽ قائم ٿيل ـ j قبول ڪريو
-A ڇاڪاڻ ته اسان اصول شامل ڪيا آهيون
-o ٻاهرين ٽرئفڪ جو حوالو ڏئي ٿو ، ان کان پوءِ انٽرفيس کي رکيو ويو آهي جيڪڏهن مخصوص ناهي ڇاڪاڻ ته اهو سڀني سان ملي ٿو.
-پورٽ بندرگاه اصل جو ، هڪ اهم ڪردار ادا ڪري ٿو ڇاڪاڻ ته اڪثر ڪيسن ۾ اسان اهو نه notاڻيندا آهيون ته اهي ڪهڙي بندرگاهه کان درخواست ڪرڻ وڃي رهيا آهن ، جيڪڏهن ائين آهي ته اسان ڊٽ استعمال ڪري سگهون ٿا
-پورٽ منزل پورٽ ، جڏهن اسان خاص طور تي اڳڀرو knowاڻون ٿا ته ٻاهر نڪرندڙ ڪنيڪشن کي صرف هڪ مخصوص بندرگاهه ڏانهن وڃڻ گهرجي. اهو ڪجهه خاص طور تي ريموٽ مائيڪل سرور وانگر هوندو آهي.
ايم اسٽيٽ اسٽيٽ قائم ڪيو ويو اهو اڳ ئي قائم ٿيل رابطن کي برقرار رکڻ جي زينت آهي ، اسان ان کي هڪ مستقبل جي پوسٽ ۾ ڳولي سگهون
-d منزل جي ڳالھ ڪرڻ لاءِ ، جيڪڏهن اهو مخصوص ٿي سگھي ها ، مثال طور ان جي آءِ پي پاران ڪنهن مخصوص مشين ڏانهن
#!/bin/bash
# اسان iptables ٽيبل صاف ڪريو -F iptables -X # اسان صاف صاف نيٽ ورڪ -t nat -F iptables -t nat -X # mange table PPPoE، PPP، and ATM iptables -t mangle -F iptables -t mangle -X # Polies منهنجو خيال آهي ته اهو شروعات ڪندڙن لاءِ بهترين طريقو آهي ۽ # اڃا به خراب ناهي ، آئون سڀ (آڊٽ) وضاحت ڪندو ڇو ته اهي ٻاهران رابطا آهن # ، اسان سڀ ڪجهه رد ڪري ڇڏيندا آهيون ، ۽ ڪوبه سرور اڳتي نه وڌڻ گهرجي. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 # Extranet wan extranet = eth1 # رياست رکو. هر شي جيڪا اڳ ۾ ئي ڳن connectedيل آهي (قائم ٿيل) آهي اسان ان کي هن هپي وانگر ڇڏي ڏين ٿا- هڪ انٽ اسٽيٽ ايم اسٽيٽ اسٽيٽ
iptables -A OUTPUT -m رياست - اسٽيٽ قائم ٿيل ، متعلق ، ج-قبول
# لوپ ڊيوائس. iptables -A INPUT -i لو-جي قبول
# قابل اطلاق لوپ بڪ ٻاھر -اي آئوٽ-لو لوج قبول ڪريو
# http ، https ، اسان انٽرفيس کي واضع نٿا ڪريون ڇاڪاڻ ته # اسين چاھيون ٿا اھو سڀ iptables ھجي - هڪ INPUT -p tcp --port 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# روانگي
# http ، https ، اسين انٽرنيٽ کي واضح نٿا ڪريون ڇاڪاڻ
# اسان اهو سڀ ڪجهه جي لاءِ ڪرڻ چاهيون ٿا پر جيڪڏهن اسان آٿٽ پورٽ جي وضاحت ڪيون ٿا
iptables-a outpUT -p tcp -portport 80 -j ACCEPT ايپلٽس -اي آئوٽ -p tcp -port 443 -j ACCEPT
# ssh صرف اندروني طور تي ۽ ip جي هن جدولن جي حد تائين -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --port 7659 -j ACCEPT
# محصول # ssh صرف اندروني ۽ آءِ ايس جي انهي حد تائين
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet -port 7659 -j قبول ڪريو
# نگراني مثال طور ، جيڪڏهن انهن وٽ زبيبڪس يا ڪجهه ٻين ايس ايم پي سروس آئي ٽيبلز -ان INPUT -p tcp -s 192.168.1.1 -i $ intranet --port 10050 -j ACCEPT
# روانگي
# مانيٽرنگ مثال طور جيڪڏهن انهن وٽ زبيبڪس يا ڪجهه ٻين snmp سهولت آهن
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet -پورٽ 10050 -j قبول ڪريو
# icmp ، پنگ سٺو توهان جو فيصلو آهي iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# روانگي
# icmp ، پنگ سٺو توهان جو فيصلو آهي
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j قبول ڪريو
# ايم ايس ايل ايل پوسٽس سان گڏ بندرگاهه 5432 ايپيبلز -ا INPUT -p tcp -s 192.168.xx -port 3306 -i $ intranet -j ACCEPT
# محصول - سوال ھڪڙو صارف کان پڇا ڪيو ويو ته اھو ھڪڙي خاص # قاعدو سرور ٺاھيو: 192.168.1.2 mysql: 192.168.1.3
پوسٽل سان گڏ # مائيسل پورٽ 5432 آهي
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 -پورٽ 3306 -o $ intranet -j ACCEPT
#sendmail bueeeh جيڪڏهن توهان ڪجهه ميل موڪلڻ چاهيو ٿا #iptables -A OUTPUT -p tcp -dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # سرور IP - توهان جي اصل وان آئي پي سرور LAN_RANGE = "192.168.xx / 21" # LAN توهان جي نيٽ ورڪ جي حد يا توهان جي vlan # IP جو ته ڪڏهن به extranet داخل نه ٿيڻ گهرجي ، اهو ٿورڙي # منطق استعمال ڪرڻ آهي جيڪڏهن اسان وٽ خالص وان وان انٽرفيس آهي ، اهو ڪڏهن به # ٽريفڪ ۾ داخل نه ٿيڻ گهرجي. LAN قسم ان انٽرفيس ذريعي SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # طئي ٿيل عمل - انجام ٿيڻ گھرجي جڏهن ڪو قاعدو ACTION = "مماثل هجي." DROP "# اي پي سان گڏ منهنجي سرور وانگر وان ايپلٽس -ا INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ايڪشن
وان جي لاءِ LAN جي حد سان # پيٽ ، آئون انهي ۾ رکان ٿو جيڪڏهن توهان وٽ # ڪو خاص نيٽورڪ آهي ، پر اهو # هيٺ ڏنل # حڪمراني سان ختم ٿيل آهي "لو" لوپ آئي ٽبلز لاءِ -ا INPUT -i $ extranet -s $ LAN_RANGE -j $ ايڪشن
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ايڪشن
## SPOOF_IPS ۾ سڀ SPOOF نيٽورڪ وين لاءِ اي پي پاران اجازت ناھي iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ايڪشن
مڪمل ٿيوايندڙ نظرثاني ۾ اسان پورٽ رينج ڪندا سين ۽ نالن جي ترتيب سان پاليسيون به جوڙيندا ، ٻين شين جي وچ ۾ ... آئون توهان جي تبصرن ۽ درخواستن جو انتظار ڪريان ٿو.
تبصرو ڪرڻ جو پهريون