Поздрав свима, данас вам доносим други део ове серије туторијала о заштитном зиду са иптаблес-ом, врло једноставан за копирање и лепљење, мислим да је то на крају оно што сви почетници траже или чак и најискуснији, зашто морамо поново измислити точак, зар не?
Овог пута кажем им да се покушају усредсредити на врло специфичан случај да ли желимо да наш заштитни зид буде много агресивнији са политиком ОУТПУТ ДРОП. Овај пост је такође на захтев читаоца ових страница и мојих постова. (У мом уму виииииииииииии)
Хајде да разговарамо мало о „разлозима за и против“ успостављања Оутпут Дроп политика, оно о чему вам могу рећи је да то чини посао много заморнијим и мукотрпнијим, међутим, про је то што ћете на мрежном нивоу имати сигурност него ако бисте седели Да бисте добро размишљали, дизајнирали и планирали политике, имат ћете много сигурнији сервер.
Да не бих блебетао или скретао са теме, на примеру ћу вам брзо објаснити како ваша правила морају бити мање или више
иптаблес -А ИЗЛАЗ -о етх0 -п тцп –спорт 80 -м држава –држава УСТАНОВЉЕНА -ј ПРИХВАТИ
-A јер смо додали правило
-o односи се на одлазни саобраћај, тада се интерфејс поставља ако није наведен јер се подудара са свим.
-спорт лука порекла, игра важну улогу, јер у већини случајева не знамо из које ће луке поднети захтев, ако бисмо могли, могли бисмо да користимо дпорт
–Дпорт одредишни порт, када унапред конкретно знамо да одлазна веза мора ићи само на одређени порт. То мора бити за нешто врло специфично, на пример за удаљени мискл сервер.
-м држава –држава УСТАНОВЉЕНА Ово је већ украс одржавања већ успостављених веза, у то бисмо могли да уђемо у наредном посту
-d да говоримо о одредишту, ако би то могло да се наведе, на пример ссх за одређену машину његовим ип-ом
#!/bin/bash
# Чистимо иптаблес табеле -Ф иптаблес -Кс # Чистимо НАТ иптаблес -т нат -Ф иптаблес -т нат -Кс # мангле табле за ствари попут ПППоЕ, ППП и АТМ иптаблес -т мангле -Ф иптаблес -т мангле -Кс # Политике Мислим да је ово најбољи начин за почетнике и # и даље није лоше, објаснићу све излазе јер су то одлазне везе #, уносом одбацујемо све, а ниједан сервер не би требало да прослеђује. иптаблес -П ИНПУТ ДРОП иптаблес -П ОУТПУТ ДРОП иптаблес -П ФОРВАРД ДРОП #Интранет ЛАН интранет = етх0 #Ектранет ван ектранет = етх1 # Задржи стање. Све што је већ повезано (успостављено) остављамо овако иптаблес -А ИНПУТ -м стате --стате УСТАНОВЉЕНО, ПОВЕЗАНО -ј ПРИХВАТИТИ
иптаблес -А ИЗЛАЗ -м стање - стање ОСНОВАНО, ПОВЕЗАНО -ј ПРИХВАТИ
# Лооп уређај. иптаблес -А УЛАЗ -и ло -ј ПРИХВАТИ
# Иптаблес повратни излаз -А ИЗЛАЗ -о ло -ј ПРИХВАТИ
# хттп, хттпс, не специфицирамо интерфејс јер # желимо да то буду сви иптаблес -А ИНПУТ -п тцп --дпорт 80 -ј АЦЦЕПТ иптаблес -А ИНПУТ -п тцп --дпорт 443 -ј АЦЦЕПТ
# одлазак
# хттп, хттпс, не специфицирамо интерфејс јер
# желимо да буде за све, али ако одредимо излазни порт
иптаблес -А ИЗЛАЗ -п тцп --спорт 80 -ј ПРИХВАТИ иптаблес -А ИЗЛАЗ -п тцп --спорт 443 -ј ПРИХВАТИ
# ссх само интерно и из овог опсега ип-ових иптаблес -А ИНПУТ -п тцп -с 192.168.кк / 24 -и $ интранет --дпорт 7659 -ј АЦЦЕПТ
# излаз # ссх само интерно и из овог опсега ип-ова
иптаблес -А ИЗЛАЗ -п тцп -д 192.168.кк / 24 -о $ интранет --спорт 7659 -ј ПРИХВАТИ
# праћење на пример ако имају заббик или неку другу снмп услугу иптаблес -А ИНПУТ -п тцп -с 192.168.1.1 -и $ интранет --дпорт 10050 -ј АЦЦЕПТ
# одлазак
# праћење на пример ако имају заббик или неку другу снмп услугу
иптаблес -А ИЗЛАЗ -п тцп -д 192.168.1.1 -о $ интранет --дпорт 10050 -ј ПРИХВАТИ
# ицмп, пинг добра је ваша одлука иптаблес -А ИНПУТ -п ицмп -с 192.168.кк / 24 -и $ интранет -ј ПРИХВАТИ
# одлазак
# ицмп, пинг гоод је твоја одлука
иптаблес -А ИЗЛАЗ -п ицмп -д 192.168.кк / 24 -о $ интранет -ј ПРИХВАТИ
#мискл са постгрес је порт 5432 иптаблес -А ИНПУТ -п тцп -с 192.168.кк --спорт 3306 -и $ интранет -ј АЦЦЕПТ
# излаз - питање које корисник такође поставља да направи врло специфичан # сервер правила: 192.168.1.2 мискл: 192.168.1.3
#мискл са постгрес је порт 5432
иптаблес -А ИЗЛАЗ -п тцп -с 192.168.1.2 -д 192.168.1.3 --дпорт 3306 -о $ интранет -ј ПРИХВАТИ
# пошаљи буееех ако желиш да пошаљеш неку пошту #иптаблес -А ИЗЛАЗ -п тцп --дпорт 25 -ј ПРИХВАТИ # Анти-СПООФИНГ 09 # СЕРВЕР_ИП = "07.ккк" # сервер ИП - прави ван ип твог сервер ЛАН_РАНГЕ = "2014.кк / 190" # ЛАН опсег ваше мреже или ваше влан # ИП адресе које никада не би смеле да уђу у екстранет, то је употреба мало логике ако имамо чисто ВАН интерфејс, никада не би требало да улази у # саобраћај Тип ЛАН-а преко тог интерфејса СПООФ_ИПС = "192.168/21 0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12" # Подразумевана радња - извршиће се када се неко правило подудара са АЦТИОН = " ДРОП "# Пакети са истим ип-ом као и мој сервер кроз ван иптаблес -А ИНПУТ -и $ ектранет -с $ СЕРВЕР_ИП -ј $ АЦТИОН
иптаблес -А ОУТПУТ -о $ ектранет -с $ СЕРВЕР_ИП -ј $ АЦТИОН
# Пакети са ЛАН опсегом за ван, ставио сам га овако за случај да имате # било коју одређену мрежу, али ово је сувишно са следећим # правилом унутар иптаблес петље "фор" -А УЛАЗ -и $ екстранет -и $ ЛАН_РАНГЕ -ј $ АКЦИЈА
иптаблес -А ОУТПУТ -о $ ектранет -с $ ЛАН_РАНГЕ -ј $ АЦТИОН
## Све СПООФ мреже не дозвољавају ван за ип у $ СПООФ_ИПС до иптаблес -А ИНПУТ -и $ ектранет -с $ ип -ј $ АЦТИОН
иптаблес -А ОУТПУТ -о $ ектранет -с $ ип -ј $ АЦТИОН
урадиоУ следећем прегледу урадићемо опсег лука и такође успоставити политике организоване по именима, између осталог ... Чекам ваше коментаре и захтеве.