Ṣẹda ogiri ti ara rẹ pẹlu awọn iptables ni lilo apa iwe afọwọkọ ti o rọrun yii 2

Firewall_ (nẹtiwọọki)

Kaabo gbogbo eniyan, loni ni mo mu wa fun ọ ni apakan keji ti jara ti awọn itọnisọna lori ogiriina pẹlu awọn iptables, rọrun pupọ ki o le daakọ ati lẹẹ mọ, Mo ro pe ni opin ọjọ o jẹ ohun ti gbogbo awọn alakọbẹrẹ tabi paapaa iriri ti o ni iriri julọ fun a ni lati ṣe atunṣe kẹkẹ ni igba 100, otun?

Ni akoko yii Mo sọ fun wọn lati gbiyanju lati dojukọ ọran pataki kan ti boya a fẹ ogiri ogiri wa lati jẹ ibinu pupọ sii pẹlu ilana OUTPUT DROP. Ifiranṣẹ yii tun wa ni ibere ti oluka ti oju-iwe yii ati ifiweranṣẹ mi. (Ninu inu mi wiiiiiiiiiiiii)

Jẹ ki a sọrọ diẹ nipa “awọn aleebu ati aiṣedede” ti idasilẹ awọn eto imulo Isọjade O wu, eyiti o lodi si eyiti MO le sọ fun ọ ni pataki ni pe o mu ki iṣẹ naa nira diẹ ati alaapọn, sibẹsibẹ pro ni pe ni ipele nẹtiwọọki iwọ yoo ni aabo ju ti o ba joko Lati ronu, ṣe apẹrẹ ati gbero awọn eto imulo daradara, iwọ yoo ni olupin ti o ni aabo pupọ diẹ sii.

Ni ibere ki o ma ṣe ja tabi kuro ni akọle, Emi yoo yara ṣe alaye fun ọ pẹlu apẹẹrẹ bii diẹ sii tabi kere si awọn ofin rẹ yẹ ki o jẹ

iptables -A OUTPUT -o eth0 -p tcp –idaraya 80 -m ipinlẹ -Itosi Ṣeto -j gba
-A nitori a ṣafikun ofin naa
-o n tọka si ijabọ ti njade, lẹhinna a ti gbe wiwo naa ti ko ba ṣalaye nitori o baamu gbogbo wọn.
-idaraya ibudo ti orisun, ṣe ipa pataki nitori ni ọpọlọpọ awọn ọran a ko mọ lati ibudo wo ni wọn yoo ṣe ibeere naa, ti o ba jẹ pe a le lo dport
–Ibawọle ibudo ibudo, nigbati a ba mọ pataki ni ilosiwaju pe asopọ ti njade gbọdọ nikan lọ si ibudo kan pato. O ni lati wa fun ohun kan pato pupọ bi olupin mysql latọna jijin fun apẹẹrẹ.
-m ipinle –PILE IPILE Eyi ti jẹ ọṣọ ti mimu awọn isopọ ti a ti ṣeto tẹlẹ, a le wa inu rẹ ni ifiweranṣẹ ọjọ iwaju
-d lati sọ ti opin irin ajo, ti o ba le ṣalaye, fun apẹẹrẹ ssh si ẹrọ kan pato nipasẹ ip rẹ

#!/bin/bash

# A nu awọn tabili iptables -F iptables -X # A nu NAT iptables -t nat -F iptables -t nat -X # tabili mangle fun awọn nkan bii PPPoE, PPP, ati ATM iptables -t mangle -F iptables -t mangle -X # Awọn ilana Mo ro pe eyi ni ọna ti o dara julọ fun awọn olubere ati # tun kii ṣe buburu, Emi yoo ṣalaye gbogbo nkan nitori wọn jẹ awọn asopọ ti njade #, titẹ sii a danu ohun gbogbo, ko si si olupin ti o yẹ ki o siwaju. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Jeki ipinle. Ohun gbogbo ti o ti sopọ tẹlẹ (ti iṣeto) a fi silẹ bi awọn iptables yii -A INPUT -m ipinle - IPILE IPẸ, RELATED -j ACCEPT
awọn iptables -A OUTPUT -m ipinle - IPILE IPINLE, ṢEJU -j Gba
# Ẹrọ Loop. iptables -A INPUT -i wo -j Gba
# Iptables loopback o wu -A OUTPUT -o lo -j Gba

# http, https, a ko ṣalaye atọkun nitori # a fẹ ki o jẹ gbogbo awọn iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# ilọkuro
# http, https, a ko pato atọkun nitori
# a fẹ ki o wa fun gbogbo ṣugbọn ti a ba ṣọkasi ibudo o wu
iptables -A OUTPUT -p tcp - idaraya 80 -j Gbigba awọn iptables -A OUTPUT -p tcp - idaraya 443 -j Gbigbawọle

# ssh nikan ni inu ati lati ibiti o wa ti awọn iptables ip-INPUT -p tcp -s 192.168.xx / 24 -i $ intranet -dport 7659 -j ACCEPT
# o wu # ssh nikan ni inu ati lati ibiti o ti ip ká
iptables -A OUTPUT -p tcp -d 192.168.xx / 24 -o $ intranet - idaraya 7659 -j Gbigba
# mimojuto fun apẹẹrẹ ti wọn ba ni zabbix tabi diẹ ninu awọn iptables iṣẹ snmp miiran -A INPUT -p tcp -s 192.168.1.1 -i $ intranet --dport 10050 -j ACCEPT
# ilọkuro
# ibojuwo fun apẹẹrẹ ti wọn ba ni zabbix tabi diẹ ninu iṣẹ snmp miiran
awọn iptables -A OUTPUT -p tcp -d 192.168.1.1 -i $ intranet -dport 10050 -j ACCEPT

# icmp, ping dara ni ipinnu rẹ iptables -A INPUT -p icmp -s 192.168.xx / 24 -i $ intranet -j ACCEPT
# ilọkuro
# icmp, ping dara ni ipinnu rẹ
iptables -A OUTPUT -p icmp -d 192.168.xx / 24 -o $ intranet -j Gba

#mysql pẹlu postgres jẹ ibudo 5432 iptables -A INPUT -p tcp -s 192.168.xx -sport 3306 -i $ intranet -j ACCEPT
# o wu - ibeere ti olumulo tun beere lati ṣe kan pato # ofin olupin: 192.168.1.2 mysql: 192.168.1.3
#mysql pẹlu awọn postgres jẹ ibudo 5432
awọn iptables -A OUTPUT -p tcp -s 192.168.1.2 -d 192.168.1.3 --dport 3306 -o $ intranet -j ACCEPT

#sendmail bueeeh ti o ba fẹ firanṣẹ meeli diẹ #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - gidi wan ip ti rẹ olupin LAN_RANGE = "192.168.xx / 21" # LAN ibiti o ti nẹtiwọọki rẹ tabi vlan # IP rẹ ti ko yẹ ki o tẹ afikun sii, o jẹ lati lo diẹ ti # kannaa ti a ba ni wiwo WAN ni kikun, ko yẹ ki o tẹ # ijabọ Iru LAN nipasẹ wiwo yẹn SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Iṣe aiyipada - lati ṣee ṣe nigbati eyikeyi ofin baamu IṢẸ = " DOP "# Awọn apo-iwe pẹlu ip kanna bi olupin mi nipasẹ awọn ohun elo iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION
iptables -A OUTPUT -o $ afikun -s $ SERVER_IP -j $ Iṣe

# Awọn apo-iwe pẹlu Range LAN fun wan, Mo fi sii bi eleyi ti o ba ni # eyikeyi nẹtiwọọki kan pato, ṣugbọn eyi jẹ apọju pẹlu ofin # atẹle ni inu “fun” awọn iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ISE
iptables -A OUTPUT -o $ afikun -s $ LAN_RANGE -j $ Iṣe

## Gbogbo Awọn nẹtiwọọki SPOOF ko gba laaye nipasẹ wan fun ip ni $ SPOOF_IPS ṣe awọn iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION
iptables -A OUTPUT -o $ afikun -s $ ip -j $ IṢẸ
ṣe

Ninu atunyẹwo ti n bọ a yoo ṣe ibiti ibudo ati tun fi idi awọn ilana mulẹ nipasẹ awọn orukọ, laarin awọn ohun miiran ... Mo n duro de awọn asọye ati awọn ibeere rẹ.


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade. O beere aaye ti wa ni samisi pẹlu *

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.