Pozdravljeni vsi, danes vam prinašam drugi del te serije vadnic o požarnem zidu z iptables, zelo preprost, tako da ga lahko kopirate in prilepite. Mislim, da je to na koncu tisto, kar iščejo vsi začetniki ali celo najbolj izkušeni, zakaj moramo kolo izmisliti 100-krat, kajne?
Tokrat jim rečem, naj se poskušajo osredotočiti na zelo specifičen primer, ali želimo, da je naš požarni zid veliko bolj agresiven s politiko IZPADNEGA PADA. Ta objava je tudi na zahtevo bralca te strani in moje objave. (V mojih mislih wiiiiiiiiiiiii)
Pogovorimo se malo o "prednostih in slabostih" vzpostavitve Output Drop pravilnikov, o katerem vam lahko rečem, da je delo precej bolj dolgočasno in mučno, vendar je v tem, da boste na omrežni ravni imeli varnost, kot če bi sedeli Če želite dobro razmišljati, oblikovati in načrtovati politike, boste imeli veliko bolj varen strežnik.
Da se ne bi zaletavali ali prehajali s teme, vam bom na primeru hitro razložil, kako naj bodo bolj ali manj vaša pravila
iptables -A IZHOD -o eth0 -p tcp –sport 80 -m state - state VZPOSTAVLJEN -j SPREJEM
-A ker smo dodali pravilo
-o se nanaša na odhodni promet, nato pa je vmesnik postavljen, če ni določen, ker se ujema z vsemi.
-šport pristanišče, igra pomembno vlogo, ker v večini primerov ne vemo, iz katerega pristanišča bodo podali zahtevo, če bi lahko, bi lahko uporabili dport
–Pport ciljno pristanišče, ko vnaprej natančno vemo, da mora odhodna povezava voditi samo do določenih vrat. To mora biti za nekaj zelo specifičnega, na primer za oddaljeni strežnik mysql.
-m stanje –država VZPOSTAVLJENA To je že okras ohranjanja že vzpostavljenih povezav, vanj bi se lahko poglobili v prihodnji objavi
-d govoriti o cilju, če bi ga lahko določili, na primer ssh za določeno napravo s svojim ip
#!/bin/bash
# Očistimo tabele iptables -F iptables -X # Očistimo NAT iptables -t nat -F iptables -t nat -X # tabela mangle za stvari, kot so PPPoE, PPP in ATM iptables -t mangle -F iptables -t mangle -X # Politike Mislim, da je to najboljši način za začetnike in # še vedno ni slabo, razložil bom izhod (izhod) vse, ker gre za odhodne povezave #, z vhodom vse zavržemo in noben strežnik ne bi smel naprej. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P NAPREJ PAD #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Ohrani stanje. Vse, kar je že povezano (vzpostavljeno), pustimo takole iptables -A INPUT -m state -state VZPOSTAVLJENO, POVEZANO -j SPREJEM
iptables -A IZHOD -m stanje - stanje VZPOSTAVLJENO, POVEZANO -j SPREJEM
# Naprava zanke. iptables -A INPUT -i lo -j ACCEPT
# Iptables loopback output -A OUTPUT -o lo -j ACCEPT
# http, https, ne določimo vmesnika, ker # želimo, da so vsi iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# odhod
# http, https, vmesnika ne določimo, ker
# želimo, da je za vse, vendar če določimo izhodna vrata
iptables -A IZHOD -p tcp --sport 80 -j ACCEPT iptables -A IZHOD -p tcp --sport 443 -j ACCEPT
# ssh samo interno in iz tega obsega ip-ov iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT
# output # ssh samo znotraj in iz tega obsega ip-jev
iptables -A IZHOD -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j SPREJEM
# spremljanje na primer, če imajo zabbix ali kakšno drugo storitev snmp iptables -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j ACCEPT
# odhod
# spremljanje na primer, če imajo zabbix ali kakšno drugo storitev snmp
iptables -A IZHOD -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j SPREJEM
# icmp, ping dobra je tvoja odločitev iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# odhod
# icmp, ping good je tvoja odločitev
iptables -A IZHOD -p icmp -d 192.168.xx / 24 -o $ intranet -j SPREJEM
#mysql z postgres je vrata 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# output - vprašanje, ki ga uporabnik vpraša tudi za izdelavo zelo specifičnega # strežnika pravil: 192.168.1.2 mysql: 192.168.1.3
#mysql s postgres je vrata 5432
iptables -A IZHOD -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j SPREJEM
#sendmail bueeeh, če želite poslati nekaj pošte #iptables -A IZHOD -p tcp --dport 25 -j SPREJEM # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # IP strežnika - pravi wan ip vašega strežnik LAN_RANGE = "192.168.xx / 21" # obseg LAN vašega omrežja ali vlan # IP-ji, ki nikoli ne bi smeli vstopiti v ekstranet, je uporabiti malo logike, če imamo vmesnik izključno WAN, nikoli ne sme vnesti # prometa Tip LAN prek tega vmesnika SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Privzeto dejanje - izvedljivo, ko se katero koli pravilo ujema z ACTION = " DROP "# Paketi z istim ip kot moj strežnik prek wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A IZHOD -o $ ekstranet -s $ SERVER_IP -j $ ACTION
# Paketi z LAN Range za wan, takole rečem, če imate # katero koli določeno omrežje, vendar je to odvečno z naslednjim pravilom # znotraj iptables zanke "for" -A INPUT -i $ extranet -s $ LAN_RANGE -j $ AKCIJA
iptables -A IZHOD -o $ ekstranet -s $ LAN_RANGE -j $ AKCIJA
## Vse mreže SPOOF ne dovolijo wan za ip v $ SPOOF_IPS do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A IZHOD -o $ ekstranet -s $ ip -j $ AKCIJA
opravljenoV naslednjem pregledu bomo opravili obseg vrat in med drugim določili tudi politike, organizirane po imenih ... Čakam na vaše komentarje in zahteve.