Խնդիր. մեր սերվերի վրա բացել բոլոր պորտերը և IP-ները բացառությամբ որոշ անցանկալի IP-ների կամ IP ցանցերի:
Տվյալ խնդրի համար կարելի է օգտվել ամենատարածված՝ iptables firewall-ից:
Mangle կանոնների շղթան հիմնականում օգտագործվում ա փաթեթի վերնագրի մեջ փոփոխություններ անելու համար՝
- TOS (Type of Service)-ի տեղակայման փոփոխության համար
- TTL (Time to Live)
- PREROUTING IP փաթեթի մեջ վերջնական հասցեի փոփոխում, որպես կանոն օգտագործվում է մուտքային փաթեթներ համար
- POSTROUTING փաթեթների սկզբնական հասցեի փոփոխում, հիմնականում օգտագործվում է դուրս եկող փաթեթների համար:
Տվյալ կարգավորման մեջ մենք չենք օգտագործելու mangle շղթան, այլ օգտագործելու ենք Filter կանոնների շղթան, ինչպես հետևում է անունից եզրակացնել, զբաղվում է փաթեթների/IP-ների զտմամբ, փաթեթները հետագայում կարող են թույլատրվել կամ էլ արգելվել՝ ACCEPT կամ DROP համապատասխանաբար:
Եվ այսպես, բացելով ցանկացած խմբագրիչով /etc/sysconfig/iptables ֆայլը կտեսնենք նրանում գրված կանոնները.
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*filter
:INPUT ACCEPT [1048:61359]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8980:7155092]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -s 15.15.15.15 -j DROP
-A INPUT -m state --state NEW -s 19.19.19.0/24 -j DROP
COMMIT
Տվյալ խնդրի համար կարելի է օգտվել ամենատարածված՝ iptables firewall-ից:
Mangle կանոնների շղթան հիմնականում օգտագործվում ա փաթեթի վերնագրի մեջ փոփոխություններ անելու համար՝
- TOS (Type of Service)-ի տեղակայման փոփոխության համար
- TTL (Time to Live)
- PREROUTING IP փաթեթի մեջ վերջնական հասցեի փոփոխում, որպես կանոն օգտագործվում է մուտքային փաթեթներ համար
- POSTROUTING փաթեթների սկզբնական հասցեի փոփոխում, հիմնականում օգտագործվում է դուրս եկող փաթեթների համար:
Տվյալ կարգավորման մեջ մենք չենք օգտագործելու mangle շղթան, այլ օգտագործելու ենք Filter կանոնների շղթան, ինչպես հետևում է անունից եզրակացնել, զբաղվում է փաթեթների/IP-ների զտմամբ, փաթեթները հետագայում կարող են թույլատրվել կամ էլ արգելվել՝ ACCEPT կամ DROP համապատասխանաբար:
Եվ այսպես, բացելով ցանկացած խմբագրիչով /etc/sysconfig/iptables ֆայլը կտեսնենք նրանում գրված կանոնները.
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*filter
:INPUT ACCEPT [1048:61359]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8980:7155092]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -s 15.15.15.15 -j DROP
-A INPUT -m state --state NEW -s 19.19.19.0/24 -j DROP
COMMIT
Տվյալ դեպքում մենք բաց ենք թողել բոլոր IP-ների և պորտերի մուտքը, բացի 15.15.15.15 IP-ից և 19.19.19.0/24 IP ցանցից:
No comments:
Post a Comment