Nekaj časa sem razmišljal o dveh stvareh glede te možnosti: večina tistih, ki iščejo te vaje, je začetnikov, drugič, mnogi že iščejo nekaj dokaj preprostega in že dodelanega.
Ta primer je za spletni strežnik, vendar lahko preprosto dodate več pravil in ga prilagodite svojim potrebam.
Ko vidite, da se za vaše ip-je spremeni "x"
#!/bin/bash
# Očistimo tabele iptables -F iptables -X # Očistimo NAT iptables -t nat -F iptables -t nat -X # tabela mangle za stvari, kot so PPPoE, PPP in ATM iptables -t mangle -F iptables -t mangle -X # Politike Mislim, da je to najboljši način za začetnike in # še vedno ni slabo, razložil bom izhod (izhod) vse, ker gre za odhodne povezave #, vhod zavržemo in noben strežnik ne bi smel naprej. iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P NAPREJ DOP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Ohrani stanje. Vse, kar je že povezano (vzpostavljeno), ostane tako: iptables -A INPUT -m state -state VZPOSTAVLJENO, POVEZANO -j ACCEPT # Loop device. iptables -A INPUT -i lo -j ACCEPT # http, https, ne določimo vmesnika, ker # želimo, da so vsi iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh samo interno in iz tega obsega ip-ovih iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT # spremljanje na primer, če imajo zabbix oz. nekatere druge snmp storitve iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j SPREJEM # icmp, ping dobro je odvisno od vas iptables -A INPUT -p icmp -s 192.168.xx / 24 - i $ intranet -j ACCEPT #mysql z postgres je vrata 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh, če želite poslati nekaj pošte # iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # IP strežnika - pravi wan ip vašega strežnika LAN_RANGE = "192.168.xx / 21 "# Območje LAN vašega omrežja ali vašega vlan # Ip-ja, ki nikoli ne smejo vstopiti v ekstranet,je uporabiti malo logike, če imamo izključno vmesnik WAN, nikoli ne sme vnašati prometa # tipa LAN prek tega vmesnika SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 .16 / XNUMX "# Privzeto dejanje - izvedljivo, ko se katero koli pravilo ujema z ACTION =" DROP "# Paketi z istim ip-om mojega strežnika prek wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION # Paketi z območjem LAN za wan, postavim tako, če imate # katero koli določeno omrežje, vendar je to odvečno z naslednjim # pravilom znotraj zanka "za" iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A IZHOD -o $ extranet -s $ LAN_RANGE -j $ ACTION ## Vse mreže SPOOF wan ne dovoli za ip in $ SPOOF_IPS naredi iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A IZHOD -o $ extranet -s $ ip -j $ ACTION done
Kot vedno čakam na vaše komentarje, spremljajte ta blog, hvala