Једно време сам размишљао о две ствари о иптаблес-у: већина оних који траже ове водиче су почетници, а друго, многи већ траже нешто прилично једноставно и већ разрађено.
Овај пример је за веб сервер, али лако можете додати више правила и прилагодити га својим потребама.
Када видите да се „к“ мења за ваше ИП адресе
#!/bin/bash
# Чистимо иптаблес табеле -Ф иптаблес -Кс # Чистимо НАТ иптаблес -т нат -Ф иптаблес -т нат -Кс # мангле табле за ствари попут ПППоЕ, ППП и АТМ иптаблес -т мангле -Ф иптаблес -т мангле -Кс # Политике Мислим да је ово најбољи начин за почетнике и # и даље није лоше, објаснићу све излазе јер су то одлазне везе #, уносом одбацујемо све, а ниједан сервер не би требало да прослеђује. иптаблес -П ИНПУТ ДРОП иптаблес -П ОУТПУТ АЦЦЕПТ иптаблес -П ФОРВАРД ДРОП #Интранет ЛАН интранет = етх0 #Ектранет ван ектранет = етх1 # Задржи стање. Све што је већ повезано (успостављено) остало је овако: иптаблес -А ИНПУТ -м стате --стате УСТАНОВЉЕНО, ПОВЕЗАНО -ј АЦЦЕПТ # Лооп девице. иптаблес -А ИНПУТ -и ло -ј ПРИХВАЋАМ # хттп, хттпс, не специфицирамо интерфејс јер # желимо да буде све иптаблес -А ИНПУТ -п тцп --дпорт 80 -ј АЦЦЕПТ иптаблес -А ИНПУТ -п тцп - дпорт 443 -ј АЦЦЕПТ # ссх само интерно и из овог опсега ип-ових иптаблес -А ИНПУТ -п тцп -с 192.168.кк / 24 -и $ интранет --дпорт 7659 -ј АЦЦЕПТ # мониторинг на пример ако имају заббик или неки други снмп сервице иптаблес -А ИНПУТ -п тцп -с 192.168.кк / 24 -и $ интранет --дпорт 10050 -ј АЦЦЕПТ # ицмп, пинг велл то до иоу иптаблес -А ИНПУТ -п ицмп -с 192.168.кк / 24 - и $ интранет -ј АЦЦЕПТ #мискл витх постгрес ис порт 5432 иптаблес -А ИНПУТ -п тцп -с 192.168.кк --спорт 3306 -и $ интранет -ј АЦЦЕПТ #сендмаил буееех ако желите да пошаљете неку пошту #иптаблес -А ОУТПУТ -п тцп --дпорт 25 -ј ПРИХВАТИ # Анти-СПООФИНГ 09/07/2014 # СЕРВЕР_ИП = "190.ккк" # ИП сервера - прави ван ип вашег сервера ЛАН_РАНГЕ = "192.168.кк / 21" # ЛАН опсег ваше мреже или вашег влан # Ип-а који никада не би требало да уђу у екстранет,је да користимо мало логике ако имамо чисто ВАН интерфејс, он никада не би требало да уноси промет типа ЛАН путем тог интерфејса СПООФ_ИПС = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 / 16 "# Подразумевана радња - извршиће се када се било које правило подудара са АЦТИОН =" ДРОП "# Пакети са истим ип-ом мог сервера кроз ван иптаблес -А ИНПУТ -и $ ектранет -с $ СЕРВЕР_ИП -ј $ АЦТИОН # иптаблес -А ОУТПУТ -о $ ектранет -с $ СЕРВЕР_ИП -ј $ АЦТИОН # Пакети са ЛАН опсегом за ван, ставио сам то овако у случају да имате # било коју одређену мрежу, али ово је сувишно са следећим # правилом унутар петље " за "иптаблес -А ИНПУТ -и $ ектранет -с $ ЛАН_РАНГЕ -ј $ АЦТИОН иптаблес -А ИЗЛАЗ -о $ ектранет -с $ ЛАН_РАНГЕ -ј $ АЦТИОН ## Све СПООФ мреже нису дозвољене од стране ван-а за ип у $ СПООФ_ИПС до иптаблес -А ИНПУТ -и $ ектранет -с $ ип -ј $ АЦТИОН иптаблес -А ОУТПУТ -о $ ектранет -с $ ип -ј $ АЦТИОН доне
Као и увек, очекујем ваше коментаре, пратите овај блог, хвала
Помаже ми да наставим да учим још мало хвала копирано.
нема на чему, драго ми је што вам могу помоћи
Заиста ми је жао, али имам два питања (и једно на поклон 😉):
Да ли бисте стигли са овом конфигурацијом да Апацхе покрене и затвори остале осим ССХ-а?
# Чистимо столове
иптаблес-Ф
иптаблес-Кс
Чистимо НАТ
иптаблес -т нат -Ф
иптаблес -т нат -Кс
иптаблес -А ИНПУТ -п тцп –дпорт 80 -ј ПРИХВАТИ
ссх само интерно и из овог опсега ип-ова
иптаблес -А ИНПУТ -п тцп -с 192.168.кк / 24 -и $ интранет –дпорт 7659 -ј ПРИХВАТИ
Друго питање: Да ли се 7659 порт користи у ССХ у овом примеру?
И треће и последње: у којој датотеци треба сачувати ову конфигурацију?
Пуно вам хвала на лекцији, срамота је што сте такав почетник и не можете то добро искористити.
ово је правило потребно за хттп из апацхе-а
иптаблес -А ИНПУТ -п тцп –дпорт 80 -ј ПРИХВАТИ
али такође морате да декларишете подразумеване смернице пада (то је у скрипти)
иптаблес -П ИНПУТ ДРОП
иптаблес -П ИЗЛАЗНИ ПРИХВАТ
иптаблес -П НАПРЕД ДРОП
и то зато што ако сте удаљени, бациће вас.
иптаблес -А УЛАЗ -м стање -држава УСТАНОВЉЕНА, ПОВЕЗАНА -ј ПРИХВАТИ
ако је 7659 порт тог ссх-а у примеру, подразумевано је 22, мада препоручујем да промените у порт „није добро познат“
човече не знам, како хоћеш ... фиревалл.сх и ставиш га у рц.лоцал (сх фиревалл.сх) тако да се аутоматски покреће, зависи од тога који оперативни систем имаш, постоје датотеке у које можеш директно ставити правила.
Еии, јако је добра ваша скрипта, анализирајући је ... Да ли знате како бих могао да одбијем све захтеве својих корисника према одређеној веб локацији? ... али ова веб локација има пуно сервера ....
Препоручујем друге опције:
1) Можете да направите лажну зону у свом днс-у ...
2) Можете поставити прокси са ацл
грех ембарго
За иптаблес можете да волите ово ... није увек најбоља опција (постоји више начина)
иптаблес -А ИНПУТ -с блог.desdelinux.не -ј КАПАТИ
иптаблес -А ОУТПУТ -д блог.desdelinux.нет -ј ДРОП
Реци ми да ли је успело
Хвала на одговору, све се рашчистило. Питао сам за луку, јер сам био изненађен употребом 7659, јер приватни портови почињу на 49152, и могао би ометати неке услуге или нешто слично.
Опет, хвала на свему, то је лепо!
Поздрав.
БродиДалле, како могу да ступим у контакт са тобом? Врло занимљив ваш сценарио.
соулофмарионет_1@хотмаил.цом
Да ли је претходни ред „иптаблес -А ОУТПУТ -о $ ектранет -с $ ип -ј $ АЦТИОН“ како бисте спречили лажну употребу ваше машине? Или је могуће да неки отровани пакет уђе и може да изађе са тим отрованим извором и да је зато правило такође укључено у ОУТПУТ?
Хвала вам пуно на појашњењу !!!
ово је моја сопствена скрипта иптаблес, врло је комплетна:
# франес.иптаблес.аиросо
# доц.иптаблес.аиросо: иптаблес за старе и за нфт
#
# портови заштитног зида
#############################
#! / бин / басх
#
# очистите екран
################################ почетак /етц/ф-иптаблес/дефаулт.цфг |||||
јасно
# оставите празан ред
одјек
извоз да = »» не = »ецхо офф»
# променљиве које можете променити да бисте дозволили приступ
####################### променљиве за модификовање са $ иес или $ но
извоз хаиекцепционес = »$ не»
# постоје изузеци: $ иес да омогући изузетне хостове и $ но да онемогући
извоз сена = »$ не»
# хаипинг: $ иес да дозволи пингове трећим лицима, а $ не да одбије
екпорт хаилогсервер = »$ не»
# хаилогеоссервер: $ иес да бих могао да пријавим тцп $ не да не бих могао да пријавим тцп
######
####################### променљиве за модификовање додавањем „,“ или са опсезима „:“
изузеци за извоз = »балдрас.веснотх.орг»
# изузетака дозвољавају појединачне или више домаћина из заштитног зида или немају вредност
извоз логсервер = одбаци, ипп, дицт, ссх
# тцп портови сервера који се евидентирају када пакети уђу
извози редсервер = 0/0
# редсервер: мрежа за портове сервера пожељна локална мрежа или неколико ипс-а
извоз клијента црвено = 0/0
# цлиентнет: мрежа за клијентске портове пожељнија од свих мрежа
извоз сервидортцп = одбаци, ипп, дикт, 6771
# сервидортцп: наведени портови тцп сервера
извоз серверудп = одбаци
#удпсервер: наведени портови удп сервера
извоз цлиентудп = домен, боотпц, боотпс, нтп, 20000: 45000
#удп клијент: наведени портови удп клијента
извоз цлиенттцп = домен, хттп, хттпс, ипп, гит, дицт, 14999: 15002
# тцп клијент: наведени портови тцп клијента
############################### крај /етц/ф-иптаблес/дефаулт.цфг |||||
################################ крај променљивих за модификовање
извоз заштитног зида = $ 1 променљиве = $ 2
иф ["$ вариаблес" = "$ НУЛЛ"]; затим извор /етц/ф-иптаблес/дефаулт.цфг;
елсе извор / етц / ф-иптаблес / $ 2; фи
################################ или ће променљиве променити у .цфг датотеку
#################################################### ############################################
извоз заштитног зида = 1 УСД променљиве извоза = 2 УСД
########################################### аутоматске системске променљиве
иф ["$ фиревалл" = "дисцоннецтед"]; затим одјекните ФИРЕВАЛЛ ДИСЦОННЕЦТЕД;
извоз ацтиватесервер = »$ но» ацтиватецлиент = »$ но» вет = »$ но»;
елиф ["$ фиревалл" = "цлиент"]; затим ехо КЛИЈЕНТ ЗАТВОРА;
извоз ацтиватесервер = »$ но» ацтиватецлиент = »» вет = »$ но»;
елиф ["$ фиревалл" = "сервер"]; затим одјекните СЕРВЕР ЗАТВОРА;
извоз ацтиватесервер = »» ацтиватецлиент = »$ но» вет = »$ но»;
елиф ["$ фиревалл" = "клијент и сервер"]; затим одјекните КЛИЈЕНТ И СЕРВЕР ЗАТВОРНОГ ЗИДА;
извоз активирај сервер = »»; извози ацтиватецлиент = »»; извоз мокри = »$ не»;
елиф ["$ фиревалл" = "дозвољено"]; затим одјекните ДОЗВОЉЕНИ ЗАТВОР;
извоз ацтиватесервер = »$ но» ацтиватецлиент = »$ но» вет = »»;
друго
$ цхецк судо ецхо иптаблес-легаци:
$ цхецк судо иптаблес-легаци -в -Л ИНПУТ
$ цхецк судо иптаблес-легаци -в -Л ИЗЛАЗ
$ цхецк судо ецхо иптаблес-нфт:
$ цхецк судо иптаблес-нфт -в -Л ИНПУТ
$ цхецк судо иптаблес-нфт -в -Л ИЗЛАЗ
ехо _____параметри____ $ 0 $ 1 $ 2
ецхо "цаст без параметара је да се наведе иптаблес."
ецхо "Први параметар (омогућити иптаблес): искључен или клијент или сервер или клијент и сервер или пермисивни."
ецхо "Други параметар: (опционално): датотека дефаулт.цфг бира /етц/ф-иптаблес/дефаулт.цфг"
ецхо "Подешавања променљивих:" $ (лс / етц / ф-иптаблес /)
излаз 0; фи
#################
одјек
ецхо Баци 0 $ искључено или клијент или сервер или клијент и сервер или пермисивне или променљиве или без коришћења параметра за навођење иптаблес.
ецхо $ 0 датотека садржи неке променљиве које је могуће уређивати.
################################## горе наведене променљиве су активиране
##################################
ехо постављање променљивих иптаблес
ехо активиране променљиве
одјек
############################ правила иптаблес
ецхо Постављање иптаблес-легаци
судо / уср / сбин / иптаблес-легаци -т филтер -Ф
судо / уср / сбин / иптаблес-легаци -т нат -Ф
судо / уср / сбин / иптаблес-легаци -т мангле -Ф
судо / уср / сбин / ип6таблес-легаци -т филтер -Ф
судо / уср / сбин / ип6таблес-легаци -т нат -Ф
судо / уср / сбин / ип6таблес-легаци -т мангле -Ф
судо / уср / сбин / ип6таблес-легаци -А УЛАЗ -ј ДРОП
судо / уср / сбин / ип6таблес-легаци -А ИЗЛАЗ -ј ДРОП
судо / уср / сбин / ип6таблес-легаци -СПРЕДЊА -ј ПАД
судо / уср / сбин / иптаблес-легаци -А ИНПУТ -с 127.0.0.1 -д 127.0.0.1 -ј ПРИХВАТИ> / дев / нулл
$ хаилогсервер судо / уср / сбин / иптаблес-легаци -А ИНПУТ -п тцп -м мултипорт –дпортс $ логсервер -ј ЛОГ> / дев / нулл
$ хаиеекцептионс судо / уср / сбин / иптаблес-легаци -А ИНПУТ -с $ екцептионс -ј ПРИХВАТИ> / дев / нулл
$ ацтивате судо сервер / уср / сбин / иптаблес-легаци -А ИНПУТ -п удп -м мултипорт –дпортс $ серверудп -с $ редсервер -д $ редсервер -ј АЦЦЕПТ> / дев / нулл
$ ацтивате сервер судо / уср / сбин / иптаблес-легаци -А ИНПУТ -п тцп -м мултипорт –дпортс $ серверртцп -с $ редсервер -д $ редсервер -ј АЦЦЕПТ> / дев / нулл
$ ацтиватецлиент судо / уср / сбин / иптаблес-легаци -А ИНПУТ -п удп -м мултипорт -спортс $ цлиентудп -м стате -стате -стате -с $ цлиентнет -д $ цлиентнет -ј АЦЦЕПТ> / дев / нулл
$ ацтиватецлиент судо / уср / сбин / иптаблес-легаци -А ИНПУТ -п тцп -м мултипорт –спортс $ цлиенттцп -м стате -стате -стате -с $ цлиентнет -д $ цлиентнет -ј АЦЦЕПТ> / дев / нулл
$ хаипинг судо / уср / сбин / иптаблес-легаци -А ИНПУТ -п ицмп –ицмп-типе ецхо-репли -ј ПРИХВАТИ> / дев / нулл
судо / уср / сбин / иптаблес-легаци -А ИНПУТ -ј ДРОП> / дев / нулл
судо / уср / сбин / иптаблес-легаци -А ИЗЛАЗ -с 127.0.0.1 -д 127.0.0.1 -ј ПРИХВАТИ> / дев / нулл
$ хаиеекцептионс судо / уср / сбин / иптаблес-легаци -А ИЗЛАЗ -д $ изузеци -ј ПРИХВАТИ> / дев / нулл
$ ацтивате сервер судо / уср / сбин / иптаблес-легаци -А ОУТПУТ -п удп -м мултипорт –спортс $ серверудп -с $ редсервер -д $ редсервер -ј АЦЦЕПТ> / дев / нулл
$ ацтивате сервер судо / уср / сбин / иптаблес-легаци -А ИЗЛАЗ -п тцп -м мултипорт –спортс $ серверртцп -с $ редсервер -д $ редсервер -ј ПРИХВАТИ> / дев / нулл
$ енабле цлиент судо / уср / сбин / иптаблес-легаци -А ОУТПУТ -п удп -м мултипорт –дпортс $ цлиентудп -с $ цлиентнет -д $ цлиентнет -ј АЦЦЕПТ> / дев / нулл
$ ацтиватецлиент судо / уср / сбин / иптаблес-легаци -А ИЗЛАЗ -п тцп -м мултипорт –дпортс $ цлиенттцп -с $ цлиентнет -д $ цлиентнет -ј ПРИХВАТИ> / дев / нулл
$ хаипинг судо / уср / сбин / иптаблес-легаци -А ОУТПУТ -п ицмп –ицмп-типе ецхо-рекуест -ј ПРИХВАТИ> / дев / нулл
судо / уср / сбин / иптаблес-легаци -А ИЗЛАЗ -ј ДРОП
судо / уср / сбин / иптаблес-легаци -НАСПРЕД -Ј ДРОП
ецхо иптаблес-легаци омогућен
одјек
ецхо Подешавање иптаблес-нфт
судо / уср / сбин / иптаблес-нфт -т филтер -Ф
судо / уср / сбин / иптаблес-нфт -т нат -Ф
судо / уср / сбин / иптаблес-нфт -т мангле -Ф
судо / уср / сбин / ип6таблес-нфт -т филтер -Ф
судо / уср / сбин / ип6таблес-нфт -т нат -Ф
судо / уср / сбин / ип6таблес-нфт -т мангле -Ф
судо / уср / сбин / ип6таблес-нфт -А УЛАЗ -ј ДРОП
судо / уср / сбин / ип6таблес-нфт -А ИЗЛАЗ -ј ДРОП
судо / уср / сбин / ип6таблес-нфт -А НАПРЕД -ј ПАД
судо / уср / сбин / иптаблес-нфт -А УЛАЗИ -с 127.0.0.1 -д 127.0.0.1 -ј ПРИХВАТИ> / дев / нулл
$ хаилогсервер судо / уср / сбин / иптаблес-нфт -А УЛАЗ -п тцп -м мултипорт –дпортс $ логсервер -ј ЛОГ> / дев / нулл
$ хаиеекцептионс судо / уср / сбин / иптаблес-нфт -А УЛАЗИ -с $ изузеци -ј ПРИХВАТИ> / дев / нулл
$ ацтивате сервер судо / уср / сбин / иптаблес-нфт -А ИНПУТ -п удп -м мултипорт –дпортс $ серверудп -с $ редсервер -д $ редсервер -ј АЦЦЕПТ> / дев / нулл
$ ацтивате сервер судо / уср / сбин / иптаблес-нфт -А ИНПУТ -п тцп -м мултипорт –дпортс $ серверртцп -с $ редсервер -д $ редсервер -ј АЦЦЕПТ> / дев / нулл
$ ацтиватецлиент судо / уср / сбин / иптаблес-нфт -А ИНПУТ -п удп -м мултипорт –спортс $ цлиентудп -м стате -стате -стате -с $ цлиентнет -д $ цлиентнет -ј АЦЦЕПТ> / дев / нулл
$ ацтиватецлиент судо / уср / сбин / иптаблес-нфт -А УЛАЗ -п тцп -м мултипорт –спортс $ цлиенттцп -м стање –држава успостављена -с $ цлиентнет -д $ цлиентнет -ј ПРИХВАТИ> / дев / нулл
$ хаипинг судо / уср / сбин / иптаблес-нфт -А ИНПУТ -п ицмп –ицмп-типе ецхо-репли -ј ПРИХВАТИ> / дев / нулл
судо / уср / сбин / иптаблес-нфт -А ИНПУТ -ј ДРОП> / дев / нулл
судо / уср / сбин / иптаблес-нфт -А ИЗЛАЗ -с 127.0.0.1 -д 127.0.0.1 -ј ПРИХВАТИ> / дев / нулл
$ постоје изузеци судо / уср / сбин / иптаблес-нфт -А ИЗЛАЗ -д $ изузеци -ј ПРИХВАТИ> / дев / нулл
$ ацтивате сервер судо / уср / сбин / иптаблес-нфт -А ИЗЛАЗ -п удп -м мултипорт –спортс $ серверудп -с $ редсервер -д $ редсервер -ј ПРИХВАТИ> / дев / нулл
$ ацтивате сервер судо / уср / сбин / иптаблес-нфт -А ИЗЛАЗ -п тцп -м мултипорт –спортс $ серверртцп -с $ редсервер -д $ редсервер -ј ПРИХВАТИ> / дев / нулл
$ ацтиватецлиент судо / уср / сбин / иптаблес-нфт -А ИЗЛАЗ -п удп -м мултипорт –дпортс $ цлиентудп -с $ цлиентнет -д $ цлиентнет -ј АЦЦЕПТ> / дев / нулл
$ ацтиватецлиент судо / уср / сбин / иптаблес-нфт -А ИЗЛАЗ -п тцп -м мултипорт –дпортс $ цлиенттцп -с $ цлиентнет -д $ цлиентнет -ј ПРИХВАТИ> / дев / нулл
$ хаипинг судо / уср / сбин / иптаблес-нфт -А ИЗЛАЗ -п ицмп –ицмп-типе ецхо-рекуест -ј ПРИХВАТИ> / дев / нулл
судо / уср / сбин / иптаблес-нфт -А ИЗЛАЗ -ј ДРОП
судо / уср / сбин / иптаблес-нфт -СПРЕДЊА -ј ПАД
ецхо иптаблес-нфт омогућен
одјек
$ вет судо / уср / сбин / иптаблес-легаци -Ф> / дев / нулл
$ вет судо / уср / сбин / иптаблес-легаци -А ИНПУТ -с 127.0.0.1 -д 127.0.0.1 -ј ПРИХВАТИ> / дев / нулл
$ мокро судо / уср / сбин / иптаблес-легаци -А ИНПУТ -м стање –држава успостављена -ј ПРИХВАТИ> / дев / нулл
$ вет судо / уср / сбин / иптаблес-легаци -А ИНПУТ -ј ДРОП> / дев / нулл
$ вет судо / уср / сбин / иптаблес-легаци -А ИЗЛАЗ -ј ПРИХВАТИ> / дев / нулл
$ вет судо / уср / сбин / иптаблес-легаци -СПРЕЂЕЊЕ -ј ДРОП> / дев / нулл
$ мокро судо / уср / сбин / иптаблес-нфт -Ф> / дев / нулл
$ вет судо / уср / сбин / иптаблес-нфт -А УЛАЗИ -с 127.0.0.1 -д 127.0.0.1 -ј ПРИХВАТИ> / дев / нулл
$ вет судо / уср / сбин / иптаблес-нфт -А ИНПУТ -м стање –држава успостављена -ј ПРИХВАТИ> / дев / нулл
$ вет судо / уср / сбин / иптаблес-нфт -А ИНПУТ -ј ДРОП> / дев / нулл
$ вет судо / уср / сбин / иптаблес-нфт -А ИЗЛАЗ -ј ПРИХВАТИ> / дев / нулл
$ вет судо / уср / сбин / иптаблес-нфт -А НАПРЕД -ј ДРОП> / дев / нулл
############################
одјек сте бацили 0 $ 1 $ 2 $
# излази из скрипте
излаз 0
Како бих поставио правило ако га овај заштитни зид користи за мој приступник и има лигњу у ЛАН-у ???