Arhiv za februar 17, 2011

Nekaj ​​poznavanja pravil požarnega zidu

1)Skoči na intranet
-PREDVAJANJE -d 222.66.99.201 -p tcp -m tcp –dport 8800 -j DNAT –do cilja 192.168.84.46:3389
-POSTROUTING -d 192.168.84.46 -p tcp -m tcp –dport 3389 -j SNAT –do vira 192.168.84.48
-IP zunanjega omrežja PREROUTING -p tcp -d –dport 8800 -j DNAT –na $ Intranet IP:3389
iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 8080 -j DNAT –na WINIP:3389
iptables -t nat -A POSTROUTING -o eth1 -j SNAT –na IP notranje omrežne kartice
2)Primer operacije preskoka vrat
-PREROUTING -i stanje -i eth1 -p tcp -m –stanje NOVO -m tcp –dport 80 -j REDIRECT –do pristanišč 8080
3)Operacija odprtega vrata
-Stanje RH-požarnega zidu-1-VHOD -p tcp -m –stanje NOVO -m tcp –dport 6060 -j ACCEPT
-INPUT -p tcp -m stanje –stanje NOVO -m tcp –dport 8080 -j ACCEPT
4)Neprekinjeno odpirajte vrata
-Stanje RH-požarnega zidu-1-VHOD -m –stanje NOVO -m tcp -p tcp –dport 7070:7079 -j ACCEPT
Usmerite vrata 80 na datoteko IPTABLES na vratih 8080
iptables -t nat -A PREROUTING -p tcp -m tcp –dport 80 -j REDIRECT –do pristanišč 8080
iptables -A VHOD -p stanje tcp -m –stanje NOVO –dport 80 -j ACCEPT
iptables-save>/etc/sysconfig/iptables
iptables -t nat -A PREROUTING -p tcp -m tcp –dport 443 -j REDIRECT –do pristanišč 8443
iptables -A VHOD -p stanje tcp -m –stanje NOVO –dport 443 -j ACCEPT
iptables-save>/etc/sysconfig/iptables
Prepreči poplavo paketov za sinhronizacijo (Sync Flood)
# iptables -NAPREJ -p tcp –omejitev syn -m –omejitev 1/s -j SPREJMI
Nekateri pišejo
#iptables -A VHOD -p tcp –omejitev syn -m –omejitev 1/s -j SPREJMI
–omejitev 1/s
Omejite simultano sinhronizacijo na 1 -krat na sekundo,Lahko ga spremenite glede na svoje potrebe
Preprečite različne preglede vrat
# iptables -NAPREJ -p tcp –tcp-zastavice SYN,ACK,KONEC,RST RST -m omejitev –omejitev 1/s -j SPREJMI
Ping smrti
# iptables -A NAPREJ -p icmp –icmp-type echo-request -m omejitev –omejitev 1/s -j SPREJMI
iptables blokirajo en sam IP
iptables -I VHODI -s 203.231.1.191 -p tcp –dport 22 -j DROP
iptables -NAPREJ -d 218.241.156.95 -j DROP
iptables-save>/etc/sysconfig/iptables
iptables -VPIS–dport 21 -s 219.142.192.187 -j ACCEPT // Dovoli dostop samo enemu IP -ju
# Ustvarjeno z iptables-save v1.2.8 v torek, januar 23 14:49:09 2007
*nat
:PRIJAVA SPREJEM [133:37589]
:SPREJEMANJE POSTROUTINGA [26:2387]
:IZHOD ACCEPT [26:2387]
-A PREROUTING -p tcp -m tcp –dport 80 -j REDIRECT –do pristanišč 8080
COMMIT
# Dokončano v torek, januar 23 14:49:09 2007
# Ustvarjeno z iptables-save v1.2.8 v torek, januar 23 14:49:09 2007
*filter
:INPUT ACCEPT [0:0]
:NAPREJ ACCEPT [0:0]
:IZHOD ACCEPT [62834:18310016]
:RH-požarni zid-1-Vhod – [0:0]
-A Vhod -j RH-Požarni zid-1-VHOD
-INPUT -p tcp -m stanje –stanje NOVO -m tcp –dport 80 -j ACCEPT
-NAPREJ -j RH-Požarni zid-1-VHOD
-A RH-Firewall-1-INPUT -i lo -j SPREJMI
-A RH -Firewall -1 -INPUT -p icmp -m icmp poljuben -j SPREJMI
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-RH-Požarni zid-1-VHOD -p ah -j SPREJEM
-Stanje RH-požarnega zidu-1-VHOD -m –stanje POVEZANE,USTANOVLJENO -j SPREJEM
-Stanje RH-požarnega zidu-1-VHOD -p tcp -m –stanje NOVO -m tcp –dport 8080 -j ACCEPT
-Stanje RH-požarnega zidu-1-VHOD -p tcp -m –stanje NOVO -m tcp –dport 22 -j ACCEPT
-RH-požarni zid-1-Vhod -j ZAVRNITE –zavrniti-z icmp-gostitelj-prepovedano
COMMIT
# Dokončano v torek, januar 23 14:49:09 2007
# Dostop do strežnika ftp (vrata 21) imajo samo uporabniki z naslovom 211.93.113.33:
-A VHODI -i 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp –dport 21 -j ACCEPT
-A VHODI -i 211.93.113.33 i eth1 -p tcp -m tcp –dport 21 -j ACCEPT
-VHOD -p tcp -m tcp –dport 21 -j ACCEPT
Blokiraj QQGAME:iptables -NAPREJ -m niz –nekaj bm –vrvica “qqgame” -j DROP
Blokirajte hišne ljubljenčke QQ:iptables -NAPREJ -m niz –nekaj bm –vrvica “qqpet” -j DROP
1)Popolnoma blokirajte vsa vrata; iptables -I VHODI -s 65.55.44.100 -j DROP; (Blokirajte dostop 65.55.44.100 do vseh vrat te naprave)
iptables -I IZHOD -d 65.55.44.100 -j DROP; (Blokirajte lokalni dostop do vseh vrat 65.55.44.100)
2)Popolnoma blokirajte določene protokole in vrata;iptables -I VHOD -p TCP –dport 25 -j DROP; (Blokirajte INPUT na vratih 25,Ta naprava ne bo prejemala pošte)
iptables -I IZHOD -p TCP –dport 25 -j DROP; (Blokirajte IZHOD vrat 25,Ta naprava ne bo mogla pošiljati pošte)
iptables -I VHODI -s 65.55.44.100 -p TCP –dport 25 -j DROP; (Blokirajte 65.55.44.100 dostop do vrat 25 stroja)
3)Delna blokada za določene protokole; #Prepoved vseh povezav TCP,Dovoli samo nekaterim IP -jem dostop do te naprave prek TCP:
iptables -I VHOD -p TCP -j DROP; (Prepoved vseh povezav s to napravo prek protokola TCP)
iptables -I VHODI -s 137.189.3.8 -p TCP -j SPREJMI; (137.189.3.8 dovolite vstop v napravo prek protokola TCP)
iptables -I VHODI -s ! 137.189.3.8 -p TCP -j DROP; (Dovolite vstop samo 137.189.3.8,Enakovredno prejšnjima dvema stavkoma,Odpreti pa je mogoče le en IP)
#Odprite vse povezave TCP,Toda nekaterim IP -jem je prepovedan dostop do te naprave prek TCP:
iptables -I VHOD -p TCP -j SPREJEM; (Dovoli vse povezave s to napravo prek protokola TCP)
iptables -I VHODI -s 137.189.3.8 -p TCP -j DROP; (Prepovedati 137.189.3.8 vstop v napravo prek protokola TCP)
iptables -I VHODI -s ! 137.189.3.8 -p TCP -j SPREJMI; (Enakovredno prvemu stavku,Toda samo en IP je mogoče prepovedati)
4)Delna blokada določenih protokolov in vrat; #Odprite povezavo TCP 80 port,Toda nekaterim IP -jem je prepovedan dostop do vrat 80 prek TCP:
iptables -I VHOD -p TCP –dport 80 -j ACCEPT; (Dovoli vsem IP -jem dostop do vrat 80 naprave)
iptables -I VHODI -s 210.245.191.162 -p TCP –dport 80 -j DROP; (Prepoved 210.245.191.162 dostopa do vrat 80)
iptables -I VHODI -s ! 210.245.191.162 -p TCP –dport 80 -j ACCEPT; (Enakovredno prvemu stavku,Toda samo en IP je mogoče prepovedati)
#Prepoved povezave TCP na vratih 80,Odprite le določene IP -je za dostop do vrat 80 prek TCP:
iptables -I VHOD -p TCP –dport 80 -j DROP; (Prepovedati ves dostop IP do vrat 80 naprave)
iptables -I VHODI -s 210.245.191.162 -p TCP –dport 80 -j ACCEPT; (Dovolite 210.245.191.162 dostop do vrat 80)
iptables -I VHODI -s ! 210.245.191.162 -p TCP –dport 80 -j DROP; (Enakovredno prvemu stavku,Za vstop pa je mogoče odpreti samo en IP)
#Prepoved brskanja po zunanjih spletnih mestih prek vrat TCP 80,Dovoli dostop samo do spletnega mesta 203.194.162.10:
iptables -I IZHOD -p tcp –dport 80 -j DROP; (Blokirajte IZHOD vrat 80,Ta naprava ne bo mogla brskati po zunanjih spletnih mestih)
iptables -I IZHOD -p tcp -d 203.194.162.10 –dport 80 -j ACCEPT; (Dovoli tej napravi dostop do vrat 80 z dne 203.194.162.10)
iptables -I IZHOD -p tcp -d ! 203.194.162.10 –dport 80 -j DROP; (Enakovredno prvemu stavku,Toda dostopen je samo en IP)
sysctl -w net.ipv4.icmp_echo_ignore_all = 1(Prepoved pinga)
Vklopite posredovanje in preslikavo
echo “1” >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp –dport 2222 -j DNAT –do cilja 192.168.1.156:22
Ne pozabite dodeliti prehoda stroja za posredovanje stroju za posredovanje
Ročno dodajte prehod
route add default gw xxx.xxx.xxx.xXX

Komentarji