Kam kaluar ca kohë duke menduar për dy gjëra në lidhje me iptables: shumica e atyre që janë duke kërkuar për këto mësime janë fillestarë dhe së dyti, shumë prej tyre tashmë janë duke kërkuar diçka mjaft të thjeshtë dhe të përpunuar tashmë.
Ky shembull është për një server në internet, por lehtë mund të shtoni më shumë rregulla dhe ta përshtatni atë me nevojat tuaja.
Kur shihni "x" të ndryshojë për ip-et tuaja
#!/bin/bash
# Ne pastrojmë tabelat e iptables -F iptables -X # Ne pastrojmë iptables NAT -t nat -F iptables -t nat -X # tavolinë mangle për gjëra të tilla si PPPoE, PPP dhe ATM iptables -t manipulim -F iptables -t manipulim -X # Politikat Unë mendoj se kjo është mënyra më e mirë për fillestarët dhe # ende nuk është e keqe, unë do të shpjegoj prodhimin (daljen) të gjitha sepse ato janë lidhje dalëse #, input ne hedhim gjithçka, dhe asnjë server nuk duhet të përcjellë. iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P P FORRPARA RRONI #Intranet LAN intranet = eth0 # Ekstranet ato ekstranet = eth1 # Mbaj gjendjen. Gjithçka që është e lidhur (e vendosur) tashmë është lënë kështu: iptables -A INPUT -m shtet - shteti I THEMELUAR, I LIDHUR -j PRANIMI # Pajisja me lak. iptables -A INPUT -i lo -j PRANO # http, https, ne nuk e specifikojmë ndërfaqen sepse # duam që të jetë për të gjitha iptables -A INPUT -p tcp --dport 80 -j PRANO iptables -A INPUT -p tcp - dport 443 -j PRANO # ssh vetëm në brendësi dhe nga kjo gamë e iptables të ip -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet - dport 7659 -j PRANO # monitorimin për shembull nëse ata kanë zabbix ose disa iptables të tjera të shërbimit snmp -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j ACCEPT # icmp, ping edhe varet nga ju iptabels -A INPUT -p icmp -s 192.168. xx / 24 - i $ intranet -j Pranoj #mysql me postgres është porti 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j PRANO #sendmail bueeeh nëse dëshiron të dërgosh ca postë #iptables -A OUTPUT -p tcp --dport 25 -j PRANOJ # Anti-FSHUFTIM 09/07/2014 # SERVER_IP = "190.xxx" # IP i serverit - ip i vërtetë i serverit tuaj LAN_RANGE = "192.168.xx / 21 "# Gama LAN e rrjetit tuaj ose vlan # Ip tuaj që nuk duhet të hyjnë kurrë në ekstranet,është të përdorim pak nga # logjika nëse kemi një ndërfaqe thjesht WAN ajo kurrë nuk duhet të futë trafik të tipit # LAN përmes asaj ndërfaqeje SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 .16 / XNUMX "# Veprimi i paracaktuar - që duhet të kryhet kur ndonjë rregull përputhet ACTION =" DROP "# Pako me të njëjtën ip të serverit tim përmes iptables wan -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION # Paketa me Gama LAN për pakësimin, unë e vë atë kështu në rast se keni # ndonjë rrjet të veçantë, por ky është i tepërt me rregullin e mëposhtëm # lak "për" iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION ## Të gjitha Rrjetet SPOOF nuk lejohen nga wan për ip in $ SPOOF_IPS bëjnë iptable -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION bërë
Si gjithmonë i pres komentet tuaja, qëndroni të lidhur në këtë blog, Faleminderit