இந்த எளிய ஸ்கிரிப்ட் பகுதி 2 ஐப் பயன்படுத்தி ஐப்டேபிள்களுடன் உங்கள் சொந்த ஃபயர்வாலை உருவாக்கவும்

ஃபயர்வால்_ (நெட்வொர்க்கிங்)

அனைவருக்கும் வணக்கம், இன்று நான் ஃபயர்வாலில் இந்த தொடர் பயிற்சிகளின் இரண்டாம் பகுதியை ஐப்டேபிள்களுடன் கொண்டு வருகிறேன், நீங்கள் நகலெடுத்து ஒட்டக்கூடிய வகையில் மிகவும் எளிமையானது, நாள் முடிவில் இது அனைத்து தொடக்கநிலையாளர்களும் தேடும் அல்லது மிக அதிகம் அனுபவம் வாய்ந்த, நாம் ஏன் 100 முறை சக்கரத்தை மீண்டும் உருவாக்க வேண்டும், இல்லையா?

OUTPUT DROP கொள்கையுடன் எங்கள் ஃபயர்வால் மிகவும் ஆக்ரோஷமாக இருக்க வேண்டுமா என்ற குறிப்பிட்ட விஷயத்தில் கவனம் செலுத்த முயற்சிக்குமாறு இந்த நேரத்தில் நான் அவர்களிடம் சொல்கிறேன். இந்த இடுகை இந்த பக்கத்தின் வாசகர் மற்றும் எனது இடுகையின் வேண்டுகோளின்படி உள்ளது. (என் மனதிற்குள் wiiiiiiiiiiiii)

வெளியீட்டு டிராப் கொள்கைகளை நிறுவுவதன் "நன்மை தீமைகள்" பற்றி கொஞ்சம் பேசலாம், இது பற்றி நான் உங்களுக்குச் சொல்லக்கூடியது என்னவென்றால், இது வேலையை மிகவும் கடினமாகவும் கடினமாகவும் ஆக்குகிறது, இருப்பினும் நெட்வொர்க் மட்டத்தில் உங்களுக்கு பாதுகாப்பு இருக்கும் நீங்கள் உட்கார்ந்திருந்தால், கொள்கைகளை நன்கு சிந்திக்கவும், வடிவமைக்கவும், திட்டமிடவும், உங்களிடம் மிகவும் பாதுகாப்பான சேவையகம் இருக்கும்.

தலைப்பைச் சிதைக்கவோ அல்லது வெளியேறவோ கூடாது என்பதற்காக, உங்கள் விதிகள் எவ்வளவு அதிகமாகவோ அல்லது குறைவாகவோ இருக்க வேண்டும் என்பதற்கான எடுத்துக்காட்டுடன் விரைவாக உங்களுக்கு விளக்கப் போகிறேன்

iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state -state ESTABLISHED -j ACCEPT
-A ஏனெனில் நாங்கள் விதியைச் சேர்த்துள்ளோம்
-o வெளிச்செல்லும் போக்குவரத்தை குறிக்கிறது, பின்னர் குறிப்பிடப்படாவிட்டால் இடைமுகம் வைக்கப்படுகிறது, ஏனெனில் இது அனைத்திற்கும் பொருந்துகிறது.
-ஸ்போர்ட் துறைமுகம், ஒரு முக்கிய பங்கு வகிக்கிறது, ஏனென்றால் பெரும்பாலான சந்தர்ப்பங்களில் அவர்கள் எந்த துறைமுகத்திலிருந்து கோரிக்கையை வைக்கப் போகிறார்கள் என்பது எங்களுக்குத் தெரியாது, அப்படியானால் நாம் dport ஐப் பயன்படுத்தலாம்
–பகுதி இலக்கு துறை, வெளிச்செல்லும் இணைப்பு ஒரு குறிப்பிட்ட துறைமுகத்திற்கு மட்டுமே செல்ல வேண்டும் என்பதை நாம் முன்கூட்டியே அறிந்திருக்கிறோம். இது ஒரு தொலைநிலை MySQL சேவையகம் போன்ற ஒரு குறிப்பிட்ட விஷயமாக இருக்க வேண்டும்.
-எம் மாநிலம்-நிலை நிறுவப்பட்டது இது ஏற்கனவே நிறுவப்பட்ட இணைப்புகளை பராமரிப்பதற்கான அலங்காரமாகும், எதிர்கால இடுகையில் இதை ஆராயலாம்
-d இலக்கு பற்றி பேச, அது குறிப்பிடப்படுமானால், எடுத்துக்காட்டாக ஒரு குறிப்பிட்ட இயந்திரத்திற்கு அதன் ஐபி மூலம் ssh

#!/bin/bash

# நாங்கள் iptables அட்டவணையை சுத்தம் செய்கிறோம் -F iptables -X # PPPoE, PPP, மற்றும் ATM iptables -t mangle -F iptables -t mangle -X போன்ற விஷயங்களுக்கு NAT iptables -t nat -F iptables -t nat -X # mangle table # கொள்கைகள் இது ஆரம்பநிலைக்கு சிறந்த வழி என்று நான் நினைக்கிறேன், # இன்னும் மோசமாக இல்லை, அவை வெளிச்செல்லும் இணைப்புகள் என்பதால் வெளியீடு (வெளியீடு) அனைத்தையும் விளக்குகிறேன் #, உள்ளீடு நாங்கள் எல்லாவற்றையும் நிராகரிக்கிறோம், எந்த சேவையகமும் முன்னோக்கி செல்லக்கூடாது. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # நிலையை வைத்திருங்கள். ஏற்கனவே இணைக்கப்பட்ட அனைத்தும் (நிறுவப்பட்டவை) இதை இந்த iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
# லூப் சாதனம். iptables -A INPUT -i lo -j ACCEPT
# ஐப்டேபிள்ஸ் லூப் பேக் வெளியீடு -A OUTPUT -o lo -j ACCEPT

# http, https, நாங்கள் இடைமுகத்தைக் குறிப்பிடவில்லை, ஏனென்றால் # இது அனைத்து iptables ஆக இருக்க வேண்டும் -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# புறப்பாடு
# http, https, ஏனெனில் நாங்கள் இடைமுகத்தைக் குறிப்பிடவில்லை
# இது அனைவருக்கும் இருக்க வேண்டும் என்று நாங்கள் விரும்புகிறோம், ஆனால் வெளியீட்டு துறைமுகத்தை நாங்கள் குறிப்பிட்டால்
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

# ssh உள்நாட்டிலும், இந்த வரம்பின் ஐபியின் iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT
# வெளியீடு # ssh உள்நாட்டிலும் இந்த ஐபியின் வரம்பிலிருந்தும் மட்டுமே
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet --sport 7659 -j ACCEPT
# கண்காணிப்பு அவர்கள் ஜாபிக்ஸ் அல்லது வேறு ஏதேனும் snmp சேவை ஐப்டேபிள்களைக் கொண்டிருந்தால் -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j ACCEPT
# புறப்பாடு
# கண்காணிப்பு அவர்கள் ஜாபிக்ஸ் அல்லது வேறு ஏதேனும் snmp சேவையைக் கொண்டிருந்தால்
iptables -A OUTPUT -p tcp -d 192.168.1.1 -o $ intranet --dport 10050 -j ACCEPT

# icmp, பிங் நல்லது உங்கள் முடிவு iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# புறப்பாடு
# icmp, பிங் நல்லது உங்கள் முடிவு
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j ACCEPT

போஸ்ட்கிரெஸுடன் #mysql என்பது போர்ட் 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT
# வெளியீடு - ஒரு குறிப்பிட்ட # விதி சேவையகத்தை உருவாக்க ஒரு பயனரால் கேட்கப்படும் கேள்வி: 192.168.1.2 mysql: 192.168.1.3
போஸ்ட்கிரெஸுடன் #mysql போர்ட் 5432 ஆகும்
iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j ACCEPT

#sendmail bueeeh நீங்கள் சில அஞ்சல்களை அனுப்ப விரும்பினால் #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # எதிர்ப்பு ஸ்பூஃபிங் 09/07/2014 # SERVER_IP = "190.xxx" # சேவையக ஐபி - உண்மையான வான் ஐபி உங்கள் சேவையகத்தின் LAN_RANGE = "192.168.xx / 21" # உங்கள் நெட்வொர்க்கின் லேன் வரம்பு அல்லது உங்கள் வலன் # ஐபிக்கள் ஒருபோதும் எக்ஸ்ட்ராநெட்டில் நுழையக்கூடாது, இது ஒரு பிட் # லாஜிக்கைப் பயன்படுத்த வேண்டும், எங்களிடம் முற்றிலும் WAN இடைமுகம் இருந்தால், அது ஒருபோதும் இருக்கக்கூடாது அந்த இடைமுகத்தின் மூலம் # போக்குவரத்து லேன் வகையை உள்ளிடவும் SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # இயல்புநிலை செயல் - எந்தவொரு விதியும் பொருந்தும்போது செய்யப்பட வேண்டும் ACTION = WAN iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION மூலம் எனது சேவையகத்தின் அதே ஐபி கொண்ட "டிராப்" # பாக்கெட்டுகள்
iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION

# WAN க்கான LAN வரம்பைக் கொண்ட பாக்கெட்டுகள், உங்களிடம் # ஏதேனும் ஒரு குறிப்பிட்ட நெட்வொர்க் இருந்தால் நான் இதை இப்படியே வைக்கிறேன், ஆனால் இது "for" லூப் ஐப்டேபிள்களுக்குள் பின்வரும் # விதியுடன் தேவையற்றது -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION

## SP SPOOF_IPS இல் ஐபிக்கு wan ஆல் அனுமதிக்கப்படாத அனைத்து SPOOF நெட்வொர்க்குகள் iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION
முடிந்ததாகக்

அடுத்த மதிப்பாய்வில் நாங்கள் துறைமுக வரம்பைச் செய்வோம், மேலும் பெயர்களால் ஒழுங்கமைக்கப்பட்ட கொள்கைகளையும் நிறுவுவோம் ... மற்றவற்றுடன் ... உங்கள் கருத்துகளையும் கோரிக்கைகளையும் எதிர்பார்க்கிறேன்.


கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.