Nag-iisip ako tungkol sa dalawang bagay tungkol sa mga iptable nang ilang sandali: karamihan sa mga naghahanap ng mga tutorial na ito ay mga nagsisimula at pangalawa, marami na ang naghahanap ng isang bagay na medyo simple at naipalabas na.
Ang halimbawang ito ay para sa isang web server, ngunit madali kang makakapagdagdag ng maraming mga panuntunan at maiakma ito sa iyong mga pangangailangan.
Kapag nakita mong nagbago ang "x" para sa iyong mga ip
#!/bin/bash
# Nililinis namin ang mga talahanayan ng iptable -F iptables -X # Nililinis namin ang mga NAT iptable -t nat -F iptables -t nat -X # mangle table para sa mga bagay tulad ng PPPoE, PPP, at ATM iptables -t mangle -F iptables -t mangle -X # Mga Patakaran Sa palagay ko ito ang pinakamahusay na paraan para sa mga nagsisimula at # hindi pa rin masama, ipapaliwanag ko ang output lahat dahil ang mga ito ay papalabas na koneksyon #, input itinapon namin ang lahat, at walang server ang dapat na magpasa. iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Panatilihin ang estado. Lahat ng nakakonekta na (naitatag) ay naiwan tulad nito: iptables -A INPUT -m estado --stado Naitaguyod, KAUGNAYAN -j TANGGAPIN # Loop aparato. iptables -A INPUT -i lo -j ACCEPT # http, https, hindi namin tinukoy ang interface dahil # nais naming maging lahat ng iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh lamang sa loob at mula sa saklaw na ito ng mga iptable ng ip -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT # pagsubaybay halimbawa kung mayroon silang zabbix o ilang iba pa snmp service iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j ACCEPT # icmp, ping well nasa sa iyo iptables -A INPUT -p icmp -s 192.168.xx / 24 - i $ intranet -j ACCEPT #mysql na may postgres ay port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh kung nais mong magpadala ng ilang mail #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - ang tunay na wan ip ng iyong server LAN_RANGE = "192.168.xx / 21" # LAN range ng iyong network o iyong vlan # Ip na hindi dapat ipasok sa extranet,ay ang paggamit ng kaunting # lohika kung mayroon kaming isang pulos WAN na interface hindi ito dapat magpasok ng # LAN type na trapiko sa pamamagitan ng interface na SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 / 16 "# Default na aksyon - upang maisagawa kapag tumugma ang anumang panuntunan sa ACTION =" DROP "# Mga Packet na may parehong ip ng aking server sa pamamagitan ng wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION # Mga packet na may LAN Range para sa wan, inilagay ko ito tulad nito kung sakaling mayroon kang # anumang partikular na network, ngunit ito ay kalabisan ng sumusunod na # panuntunan sa loob ng loop " para sa "iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION ## Lahat ng SPOOF Networks ay hindi pinapayagan ng wan para ip sa $ SPOOF_IPS gawin ang mga iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION tapos na
Tulad ng lagi kong hinihintay ang iyong mga komento, manatiling nakasubaybay sa blog na ito, Salamat