Պաշտպանվում ենք iptables-ով

| Հոկտեմբեր 9, 2012 | Մեկնաբանված չէ |

Խնդիր. մեր սերվերի վրա բացել բոլոր պորտերը և IP-ները բացառությամբ որոշ անցանկալի IP-ների կամ IP ցանցերի:
Տվյալ խնդրի համար կարելի է օգտվել ամենատարածված՝ iptables firewall-ից:

Mangle կանոնների շղթան հիմնականում օգտագործվում ա փաթեթի վերնագրի մեջ փոփոխություններ անելու համար՝
– TOS (Type of Service)-ի տեղակայման փոփոխության համար
– TTL (Time to Live)
– PREROUTING IP փաթեթի մեջ վերջնական հասցեի փոփոխում, որպես կանոն օգտագործվում է մուտքային փաթեթներ համար
– POSTROUTING փաթեթների սկզբնական հասցեի փոփոխում, հիմնականում օգտագործվում է դուրս եկող փաթեթների համար:
Տվյալ կարգավորման մեջ մենք չենք օգտագործելու mangle շղթան, այլ օգտագործելու ենք Filter կանոնների շղթան, ինչպես հետևում է անունից եզրակացնել, զբաղվում է փաթեթների/IP-ների զտմամբ, փաթեթները հետագայում կարող են թույլատրվել կամ էլ արգելվել՝ ACCEPT կամ DROP համապատասխանաբար:
Եվ այսպես, բացելով ցանկացած խմբագրիչով /etc/sysconfig/iptables ֆայլը կտեսնենք նրանում գրված կանոնները.

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*filter
:INPUT ACCEPT [1048:61359]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8980:7155092]
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state NEW -s 15.15.15.15 -j DROP
-A INPUT -m state –state NEW -s 19.19.19.0/24 -j DROP
COMMIT

Տվյալ դեպքում մենք բաց ենք թողել բոլոր IP-ների և պորտերի մուտքը, բացի 15.15.15.15 IP-ից և 19.19.19.0/24 IP ցանցից:

ՍկզբնԱղբյուր

Նշագրեր: , ,

Բաժին: Ցանցի կառավարում (Network Administration)

Կիսվել , տարածել , պահպանել

VN:F [1.9.20_1166]
Rating: 0.0/10 (0 votes cast)

Մեկնաբանեք

Կհաստատվեն միայն մեսրոպատառ հայերենով գրած մեկնաբանությունները

194