Abuur darbigaa adiga kuu gaar ah oo leh iptable adigoo isticmaalaya qoraalkan fudud qeybta 2

BrodyDalle

Daqiiqado 5

Firewall_ (isku xirka)

Dhamaantiin waad salaaman tihiin, maanta waxaan idiin soo gudbinayaa qayb labaad oo ka mid ah casharradan taxanaha ah ee ku saabsan gidaarka gidaar oo ay ku jiraan iptable, aad u fudud si aad nuqul uga samaysan kartaan oo aad u dhejin kartaan, waxaan u maleynayaa in dhamaadka maalinta ay tahay waxa bilowga ah oo dhami ay raadinayaan ama xitaa kuwa ugu khibradda badan, sababta waa inaan dib u cusbooneysiin karnaa 100 jeer, sax?

Markan waxaan u sheegayaa inay isku dayaan inay diiradda saaraan kiiska gaarka ah ee ah haddii aan dooneyno in darbigeennu uu aad uga sii caroodo siyaasadda OUTPUT DROP. Qoraalkani wuxuu sidoo kale ku jiraa codsi akhristaha bogaggan iyo qoraalladayda. (Gudaha maskaxdayda wiiiiiiiiiiiii)

Aynu wax yar ka hadalno "faa iidooyinka iyo qasaarooyinka" ee aasaasidda siyaasadaha Soo-Saaridda Wax-soo-saarka, midka aan ka soo horjeedo oo aan inta badan kuu sheegi karo ayaa ah inay ka dhigayso shaqada mid aad u dhib badan oo hawl badan, hase yeeshee waxa ay pro tahay in heerka shabakadda aad ku heli doontid nabadgelyo ka badan haddii aad fadhiisato Si aad uga fikirto, u dejiso una qorsheyso siyaasadaha si wanaagsan, waxaad yeelan doontaa adeege aad u ammaan badan.

Si aanan u dhicin ama aan uga baxo mowduuca, waxaan si dhakhso leh kuugu sharraxayaa adiga tusaale ahaan sida xeerarkaagu u noqon karaan kuwo ka badan ama ka yar

iptables -AXIRITAAN -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
-A maxaa yeelay waxaan ku darsanay xeerka
-o waxaa loola jeedaa taraafikada dibadda, ka dibna isdhexgalka ayaa la dhigayaa haddii aan la cayimin maxaa yeelay waxay la mid tahay dhammaantood.
-sport dekedda asalka, ayaa door muhiim ah leh maxaa yeelay xaaladaha badankood ma ogin dekedda ay ka samayn doonaan codsiga, haddii ay sidaas tahay waxaan isticmaali karnaa dport
–Naadiga dekedda loo socdo, markaan si gaar ah horey ugu sii ogaanay in xiriirka ka baxayaa kaliya uu aadayo deked gaar ah. Waa inay ahaato wax aad u gaar ah sida server mysql fog tusaale ahaan.
-m gobol –Dagaalo DHISMAY Tani mar hore waa qurxin lagu ilaalinayo isku xirnaanta horeyba loo aasaasay, waxaan ku gali karnaa qoraal dambe
-d inaad ka hadasho halka aad aadeyso, haddii la qeexi karo, tusaale ssh mashiin gaar ah ip

#!/bin/bash

# Waxaan nadiifinaa miisaska iptables -F iptables -X # Waxaan u nadiifinaa NAT iptables -t nat -F iptables -t nat -X # mangle miiska waxyaabaha sida PPPoE, PPP, iyo ATM iptables -t mangle -F iptables -t mangle -X # Policies Waxaan u maleynayaa in tani ay tahay sida ugu wanaagsan ee bilowga ah oo aan wali u xuneyn, waan sharaxi doonaa wax soo saar dhamaantood maxaa yeelay waxay yihiin xiriiro bixinaya #, fikradaha waan iska tuuraynaa wax walba, mana jiro adeege horay u sii gudbiya. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Hayso gobolka. Wax kasta oo horeyba u xirnaa (aasaasmay) waxaan uga tagnay sidan iptables-GARGAARKA -m dowlad-goboleed LAGA DHISAY, LA XIRIIR -j AQBAL
iptables -XIRITAANKA -m dowlad-goboleed LAGA SAMEEYAY, LA XIRIIR -j AQBAL
# Qalab Loop. iptables -GALIGII -i lo -j AQBAL
# Waxyaabaha loo yaqaan 'Iptables loopback output' -OODPUT -o lo -j ACCEPT

# http, https, ma cayimayno isku xirnaanta maxaa yeelay # waxaan dooneynaa inuu noqdo dhamaan laqiyaasayo-INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# bixitaan
# http, https, ma cayimayno isku xirnaanta maxaa yeelay
# waxaan dooneynaa inay u wada ahaato laakiin haddii aan cayimno dekedda wax soo saarka
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# ssh kaliya gudaha iyo laga soo bilaabo noocyadan ip-yada ip-yada ah -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet -dport 7659 -j ACCEPT
# wax soo saar # ssh gudaha kaliya oo laga helo noocyadan ip
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ACCEPT
# la socodka tusaale ahaan haddii ay leeyihiin zabbix ama adeegyo kale oo snmp iptables -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j ACCEPT
# bixitaan
# kormeerka tusaale ahaan haddii ay leeyihiin zabbix ama adeeg kale oo snmp ah
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j ACCEPT

# icmp, ping good waa go'aankaaga iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# bixitaan
# icmp, ping good waa go'aankaaga
iptables -AXIRIIR -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPT

#mysql leh postgres waa dekedda 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# wax soo saar - su'aal sidoo kale uu weydiiyay isticmaale inuu sameeyo si gaar ah # server server: 192.168.1.2 mysql: 192.168.1.3
#mysql leh postgres waa dekedda 5432
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j ACCEPT

#sendmail bueeeh haddii aad rabto inaad dirto xoogaa mail ah #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - the real wan ip of your server LAN_RANGE = "192.168.xx / 21" # LAN kaladuwan ee shabakadaada ama vlan # Ip's ee aan waligood soo galin karin, waa in la isticmaalo xoogaa # caqli gal ah hadii aan haysanno isku xirnaan WAN ah oo aan marnaba soo galin # taraafikada Nooca LAN-ka ee dhex maraya interface-ka SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Tallaabada ugu dambaysa - in la sameeyo marka uu xeer kasta la jaan qaadayo ACTION = " DARO "# Baakado wata ip oo isku mid ah server-kayga iyada oo loo marayo wan iptable -A INPUT -i $ dheeraad ah -s $ SERVER_IP -j $ ACTION
iptables -KOOBBARASHO -waxaa $ dheeraad ah -s $ SERVER_IP -j $ ACTION

# Baakado leh LAN Range oo loogu talagalay wan, waxaan u dhigay sidan haddiiba aad haysato # shabakad gaar ah, laakiin tani waa mid aan ku habboonayn sharciga # soo socda ee "loogu talagalay" loopable-yada $ ACTION
iptables -KOOBBAR -waxaa $ dheeraad ah -s $ LAN_RANGE -j $ ACTION

## Dhammaan shabakadaha SPOOF ee aan loo oggolaan wan ee ip in $ SPOOF_IPS samee iptables -A INPUT -i $ dheeraad ah -s $ ip -j $ ACTION
iptables -WaxA DHAQAAL -oo $ siyaado ah -s $ ip -j $ ACTION
soo gabagabeeyay

Dib-u-eegista soo socota waxaan qaban doonnaa dekedda oo waxaan kaloo dejin doonnaa siyaasado magacyo lagu abaabulay, iyo waxyaabo kale ... Waxaan sugayaa faallooyinkaaga iyo codsiyadaada.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.