Једно време сам размишљао о две ствари о иптаблес-у: већина оних који траже ове водиче су почетници, а друго, многи већ траже нешто прилично једноставно и већ разрађено.
Овај пример је за веб сервер, али лако можете додати више правила и прилагодити га својим потребама.
Када видите да се „к“ мења за ваше ИП адресе
#!/bin/bash
# Чистимо иптаблес табеле -Ф иптаблес -Кс # Чистимо НАТ иптаблес -т нат -Ф иптаблес -т нат -Кс # мангле табле за ствари попут ПППоЕ, ППП и АТМ иптаблес -т мангле -Ф иптаблес -т мангле -Кс # Политике Мислим да је ово најбољи начин за почетнике и # и даље није лоше, објаснићу све излазе јер су то одлазне везе #, уносом одбацујемо све, а ниједан сервер не би требало да прослеђује. иптаблес -П ИНПУТ ДРОП иптаблес -П ОУТПУТ АЦЦЕПТ иптаблес -П ФОРВАРД ДРОП #Интранет ЛАН интранет = етх0 #Ектранет ван ектранет = етх1 # Задржи стање. Све што је већ повезано (успостављено) остало је овако: иптаблес -А ИНПУТ -м стате --стате УСТАНОВЉЕНО, ПОВЕЗАНО -ј АЦЦЕПТ # Лооп девице. иптаблес -А ИНПУТ -и ло -ј ПРИХВАЋАМ # хттп, хттпс, не специфицирамо интерфејс јер # желимо да буде све иптаблес -А ИНПУТ -п тцп --дпорт 80 -ј АЦЦЕПТ иптаблес -А ИНПУТ -п тцп - дпорт 443 -ј АЦЦЕПТ # ссх само интерно и из овог опсега ип-ових иптаблес -А ИНПУТ -п тцп -с 192.168.кк / 24 -и $ интранет --дпорт 7659 -ј АЦЦЕПТ # мониторинг на пример ако имају заббик или неки други снмп сервице иптаблес -А ИНПУТ -п тцп -с 192.168.кк / 24 -и $ интранет --дпорт 10050 -ј АЦЦЕПТ # ицмп, пинг велл то до иоу иптаблес -А ИНПУТ -п ицмп -с 192.168.кк / 24 - и $ интранет -ј АЦЦЕПТ #мискл витх постгрес ис порт 5432 иптаблес -А ИНПУТ -п тцп -с 192.168.кк --спорт 3306 -и $ интранет -ј АЦЦЕПТ #сендмаил буееех ако желите да пошаљете неку пошту #иптаблес -А ОУТПУТ -п тцп --дпорт 25 -ј ПРИХВАТИ # Анти-СПООФИНГ 09/07/2014 # СЕРВЕР_ИП = "190.ккк" # ИП сервера - прави ван ип вашег сервера ЛАН_РАНГЕ = "192.168.кк / 21" # ЛАН опсег ваше мреже или вашег влан # Ип-а који никада не би требало да уђу у екстранет,је да користимо мало логике ако имамо чисто ВАН интерфејс, он никада не би требало да уноси промет типа ЛАН путем тог интерфејса СПООФ_ИПС = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 / 16 "# Подразумевана радња - извршиће се када се било које правило подудара са АЦТИОН =" ДРОП "# Пакети са истим ип-ом мог сервера кроз ван иптаблес -А ИНПУТ -и $ ектранет -с $ СЕРВЕР_ИП -ј $ АЦТИОН # иптаблес -А ОУТПУТ -о $ ектранет -с $ СЕРВЕР_ИП -ј $ АЦТИОН # Пакети са ЛАН опсегом за ван, ставио сам то овако у случају да имате # било коју одређену мрежу, али ово је сувишно са следећим # правилом унутар петље " за "иптаблес -А ИНПУТ -и $ ектранет -с $ ЛАН_РАНГЕ -ј $ АЦТИОН иптаблес -А ИЗЛАЗ -о $ ектранет -с $ ЛАН_РАНГЕ -ј $ АЦТИОН ## Све СПООФ мреже нису дозвољене од стране ван-а за ип у $ СПООФ_ИПС до иптаблес -А ИНПУТ -и $ ектранет -с $ ип -ј $ АЦТИОН иптаблес -А ОУТПУТ -о $ ектранет -с $ ип -ј $ АЦТИОН доне
Као и увек, очекујем ваше коментаре, пратите овај блог, хвала