Bu iptables hakkında iki şey düşünmek için biraz zaman harcadım: bu eğitimleri arayanların çoğu yeni başlayanlar ve ikincisi, birçoğu zaten oldukça basit ve zaten ayrıntılı bir şey arıyor.
Bu örnek bir web sunucusu içindir, ancak kolayca daha fazla kural ekleyebilir ve bunu ihtiyaçlarınıza göre uyarlayabilirsiniz.
IP'leriniz için "x" değişimini gördüğünüzde
#!/bin/bash
# İptables tablolarını temizliyoruz -F iptables -X # NAT iptables'ı temizliyoruz -t nat -F iptables -t nat -X # PPPoE, PPP ve ATM iptables gibi şeyler için mangle tablası -t mangle -F iptables -t mangle -X # Politikalar Bunun yeni başlayanlar için en iyi yol olduğunu düşünüyorum ve # yine de fena değil, çıktıları açıklayacağım çünkü bunlar giden bağlantılar #, girdi her şeyi atıyoruz ve hiçbir sunucu iletmemeli. iptables -P GİRİŞ DROP iptables -P ÇIKIŞI KABUL Eptables -P İLERİ DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Durumu koru. Zaten bağlı (kurulmuş) olan her şey şu şekilde bırakılır: iptables -Bir GİRİŞ -m durumu --state KURULUŞ, İLGİLİ -j KABUL # Döngü cihazı. iptables -Bir GİRİŞ -i lo -j KABUL # http, https, arayüzü belirtmiyoruz çünkü # tüm iptables olmasını istiyoruz -A GİRİŞ -p tcp --dport 80 -j iptables KABUL ET -A GİRİŞ -p tcp - dport 443 -j ACCEPT # ssh yalnızca dahili olarak ve bu ip'lerin iptables aralığından -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT # izleme örneğin zabbix varsa veya diğer bazı snmp hizmeti iptables -A GİRİŞ -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j KABUL # icmp, ping iyi, size kalmış iptables -A GİRİŞ -p icmp -s 192.168.xx / 24 - i $ intranet -j ACCEPT #mysql postgres ile bağlantı noktası 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh eğer posta göndermek istiyorsanız # iptables -A ÇIKIŞ -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # sunucu IP'si - sunucunuzun gerçek wan ip'i LAN_RANGE = "192.168.xx / 21 "# Ağınızın LAN aralığı veya vlan # IP'leriniz asla extranete girmemelidir,sadece bir WAN arayüzümüz varsa, o arayüz üzerinden # LAN türü trafiğe asla girmemelidir SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 .16 / XNUMX "# Varsayılan eylem - herhangi bir kural ACTION =" DROP "ile eşleştiğinde gerçekleştirilecek # wan iptables aracılığıyla sunucumun aynı IP'sine sahip paketler -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A ÇIKIŞ -o $ extranet -s $ SERVER_IP -j $ EYLEM # wan için LAN Aralığı olan paketler, herhangi bir ağa # sahip olmanız durumunda bunu böyle koyuyorum, ancak bu, aşağıdaki # kuralı ile gereksizdir döngü "için" iptables -A GİRİŞ -i $ extranet -s $ LAN_RANGE -j $ EYLEM iptables -A ÇIKIŞ -o $ extranet -s $ LAN_RANGE -j $ ACTION ## wan tarafından ip girişi için tüm SPOOF ağlarına izin verilmez $ SPOOF_IPS iptables yapıyor -Bir GİRİŞ -i $ extranet -s $ ip -j $ EYLEM iptables -A ÇIKIŞ -o $ extranet -s $ ip -j $ İŞLEM yapıldı
Her zaman olduğu gibi yorumlarınızı bekliyorum, bu blogda bizi izlemeye devam edin, Teşekkürler