Инструменты безопасности с открытым исходным кодом


Создание межсетевого экрана Iptables - часть 3


Именно здесь вы можете запретить применение FTP и других необязательных программ. iptables -A FORWARD -m multiport -p tcp -o eth0 -d 0.0.0.0 --dports www,smtp --syn -j ACCEPT
  • Необходимо пропускать некоторые входящие и исходящие пакеты UDP. UDP применяются для DNS, и, если эти пакеты заблокировать, то пользователи не смогут выполнять разрешение адресов. Так как, в отличие от TCP, UDP-пакеты не имеют состояния, нельзя полагаться на проверки флагов SYN или ACK. Вы хотите разрешить UDP только на порт 53, поэтому вы задаете domain (встроенную переменную для порта 53) как единственно допустимый порт. Это делается с помощью следующих инструкций: iptables -A FORWARD -m multiport -p udp -i eth0 -d 192.168.0.0/24 --dports domain -j ACCEPT iptables -A FORWARD -m multiport -p udp -i eth0 -s 192.168.0.0/24 --sports domain -j ACCEPT iptables -A FORWARD -m multiport -p udp -i eth1 -d 0.0.0.0--dports domain -j ACCEPT iptables -A FORWARD -m multiport -p udp -i eth0 -s 0.0.0.0 --sports domain -j ACCEPT
  • Первая из двух приведенных выше инструкций разрешает входящие дейтаграммы UDP, а вторая - исходящие. Аналогичные действия стоит проделать и для ICMP-пакетов (информационных сетевых пакетов, рассмотренных в лекции 2). Вы хотите разрешить только определенные типы пакетов, такие, например, как эхо-ответ для входящих (--icmp-type 0) или эхо-запрос для исходящих (--icmp-type 8). Этого можно добиться с помощью следующих инструкций: iptables -A FORWARD -m multiport -p icmp -i eth0 -d 192.168.0.0/24 --dports 0, 3,11 -j ACCEPT iptables -A FORWARD -m multiport -p icmp -i eth1 -d 0.0.0.0 --dports 8, 3,11 -j ACCEPT
  • Наконец, вы хотите установить протоколирование, чтобы, просматривая журнал, можно было увидеть, какие пакеты были отброшены. Журнал желательно периодически просматривать, даже если проблем нет, просто чтобы иметь представление о видах отброшенного трафика. Если вы видите повторно отброшенные пакеты из одной и той же сети или одного адреса, то вас, возможно, атаковали. Протоколирование всех видов трафика задается одной инструкцией: iptables -A FORWARD -m tcp -p tcp -j LOG iptables -A FORWARD -m udp -p udp -j LOG iptables -A FORWARD -m udp -p icmp -j LOG

  • Готово! Вы получили межсетевой экран, защищающий от наиболее распространенных атак из Интернета.




    Начало  Назад  Вперед



    Книжный магазин