Përshëndetje të gjithëve, sot ju sjell një pjesë të dytë të kësaj serie mësimesh mbi murin e zjarrit me iptables, shumë e thjeshtë në mënyrë që të kopjoni dhe ngjisni, mendoj se në fund të ditës është ajo që kërkojnë të gjithë fillestarët ose edhe më me përvojë, pse duhet të rishpikim timonin 100 herë, apo jo?
Këtë herë u them atyre që të përpiqen të përqendrohen në rastin shumë specifik nëse duam që firewall-i ynë të jetë shumë më agresiv me një politikë OUTPUT DROP. Ky postim është gjithashtu me kërkesë të një lexuesi të kësaj faqe dhe postimit tim. (Brenda mendjes time wiiiiiiiiiiiii)
Le të flasim pak për "pro dhe kundër" të krijimit të politikave Output Drop, ajo për të cilën mund t'ju tregoj është se e bën punën shumë më të lodhshme dhe të mundimshme, megjithatë pro është që në nivelin e rrjetit të keni siguri sesa nëse uleni Për të menduar, hartuar dhe planifikuar mirë politikat, do të keni një server shumë më të sigurt.
Për të mos tundur ose për të dalë nga tema, unë do t'ju shpjegoj shpejt me një shembull se sa pak a shumë rregullat tuaja duhet të jenë
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m shtet-shtet i themeluar -j PRANIMI
-A sepse shtuam rregullin
-o i referohet trafikut dalës, atëherë ndërfaqja vendoset nëse nuk specifikohet sepse përputhet me të gjitha.
-sport porti i origjinës, luan një rol të rëndësishëm sepse në shumicën e rasteve nuk e dimë nga cili port do të bëjnë kërkesën, nëse kështu mund të përdorim dport
–Dport porti i destinacionit, kur ne e dimë specifikisht paraprakisht që lidhja dalëse duhet të shkojë vetëm në një port specifik. Duhet të jetë për diçka shumë specifike si një server i largët mysql për shembull.
-m shtet - shtet i themeluar Kjo tashmë është një zbukurim i ruajtjes së lidhjeve tashmë të vendosura, ne mund të thellohemi në të në një post të ardhshëm
-d të flasësh për destinacionin, nëse mund të specifikohet, për shembull ssh në një makinë specifike nga ip-i i saj
#!/bin/bash
# Ne pastrojmë tabelat e iptables -F iptables -X # Ne pastrojmë iptables NAT -t nat -F iptables -t nat -X # tavolinë mangle për gjëra të tilla si PPPoE, PPP, dhe iptables të ATM-t-manipuloj -F iptables -t manipuloj -X # Politikat Unë mendoj se kjo është mënyra më e mirë për fillestarët dhe # ende nuk është e keqe, unë do të shpjegoj prodhimin (daljen) të gjitha sepse ato janë lidhje dalëse #, input ne hedhim gjithçka, dhe asnjë server nuk duhet të përcjellë. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P P FORRPARA RRONI #Intranet LAN intranet = eth0 # Ekstranet ato ekstranet = eth1 # Mbaj gjendjen. Gjithçka që është e lidhur (e vendosur) tashmë, ne e lëmë si kjo iptables -A INPUT -m shtet - shteti I VEPRUAR, I LIDHUR -j PRANIMI
iptables -A OUTPUT -m shtet - shteti I THEMELUAR, I LIDHUR -j PRANIMI
# Pajisja loop. iptables -A INPUT -i lo -j PRANIMI
# Iptables rezultati i kthimit - A OUTPUT -o lo -j PRANIMI
# http, https, ne nuk specifikojmë ndërfaqen sepse # duam që të jenë të gjitha iptabelët -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j PRANOJN
# nisja
# http, https, ne nuk specifikojmë ndërfaqen sepse
# duam që të jetë për të gjithë, por nëse specifikojmë portin e daljes
iptables -A OUTPUT -p tcp - sport 80 -j ACCEPT iptables -A OUTPUT -p tcp - sport 443 -j ACCEPT
# ssh vetëm në brendësi dhe nga kjo gamë e ipteve të ip -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j PRANON
# dalje # ssh vetëm brenda dhe nga kjo gamë e ip-ve
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet - sport 7659 -j ACCEPT
# monitorim për shembull nëse ata kanë zabbix ose disa mundësi të tjera të shërbimit snmp -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j ACCEPT
# nisja
# monitorim për shembull nëse ata kanë zabbix ose ndonjë shërbim tjetër snmp
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j ACCEPT
# icmp, ping mirë është vendimi juaj iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j PRANOJ
# nisja
# icmp, ping mirë është vendimi juaj
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPT
#mysql me postgres është porti 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j PRANOJ
# dalje - pyetja e bërë nga një përdorues për të bërë një server shumë specifik # rregullash: 192.168.1.2 mysql: 192.168.1.3
#mysql me postgres është porti 5432
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j PRANOJN
#sendmail bueeeh nëse doni të dërgoni disa posta #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # IP i serverit - ip i vërtetë i juaji server LAN_RANGE = "192.168.xx / 21" # Gama e LAN-it të rrjetit tuaj ose vlan # IP tuaj që nuk duhet të hyjë kurrë në ekstranet, do të thotë të përdorësh pak logjikë nëse kemi një ndërfaqe thjesht WAN, ajo kurrë nuk duhet të hyjë në # trafik Lloji i LAN përmes asaj ndërfaqeje SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Veprimi i paracaktuar - do të kryhet kur ndonjë rregull përputhet me VEPRIMIN = " DROP "# Pako me të njëjtën ip si serveri im përmes iptables të atyre -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION
# Paketa me Gama LAN për pakësim, unë e vë atë kështu në rast se keni # ndonjë rrjet të veçantë, por kjo është e tepërt me rregullin e mëposhtëm # brenda iptables të lakut "për" -NJE INPUT -i $ ekstranet -s $ LAN_RANGE -j $ VEPRIMI
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION
## Të gjitha Rrjetet SPOOF nuk lejohen nga wan për ip në $ SPOOF_IPS do iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
e bërëNë rishikimin tjetër, ne do të bëjmë diapazonin e portit dhe gjithashtu do të vendosim politika të organizuara nga emra, ndër të tjera ... Unë pres komentet dhe kërkesat tuaja.