วิธีทำรายการ ip และส่วนที่เหลือทั้งหมดให้เป็นสีขาวในขณะที่มี DMZ อยู่แล้ว?


0

ฉันมีเครื่องลีนุกซ์กำลังทำงานอยู่ซึ่งมี IP ท้องถิ่น: 192.168.1.2 เชื่อมต่อกับเราเตอร์ที่มี IP สาธารณะ 8.8.8.8, ตอนนี้เราเตอร์ 8.8.8.8 มี DMZ ถึง 192.168.1.2

ในฐานะที่เป็นผู้ส่งอีเมลขยะผลแฮกเกอร์แครกเกอร์ชน 192.168.1.2 ทำงานโปรโตคอล H.323 หรือโปรโตคอล SIP

ฉันจะใส่รายการขาวของ IP สาธารณะในเราเตอร์หรือหลังเราเตอร์เพื่อป้องกันการโจมตีดังกล่าวได้อย่างไร (เครื่อง Linux ไม่ใช่โอเพ่นซอร์สฉันไม่สามารถเข้าถึง iptables ได้)

คำตอบ:


1

บนเราเตอร์ของคุณถ้าคุณสามารถเรียกใช้ iptables ให้ปล่อยสิ่งใด ๆ ที่เข้ามาในส่วนต่อประสานภายนอกออกแล้วเพิ่มข้อยกเว้น:

ตัวอย่างง่ายๆของสิ่งที่คุณอธิบายโดยสันนิษฐานว่า eth1 เป็นอุปกรณ์ที่อยู่ภายนอก:

iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j DROP
iptables -I FORWARD -i eth1 -s 123.123.123.123 -j ACCEPT
iptables -I FORWARD -i eth1 -s 123.124.0.0/16 -j ACCEPT

บรรทัดหมายถึงสิ่งต่อไปนี้:

  1. อนุญาตให้ทราฟฟิกยืนยันแล้วเช่นตอบกลับข้อความค้นหาของคุณเอง
  2. วางทุกอย่าง
  3. อนุญาต IP 123.123.123.123
  4. อนุญาตเครือข่ายย่อยทั้งหมด 123.124.xxx.xxx

จดบันทึกสวิตช์ไปที่-Iแทนที่จะเป็น-Aบนบรรทัดที่ 3 และ 4 ซึ่งหมายความว่าควรวางกฎเป็นอันดับแรกในรายการแทนการต่อท้าย

หากคุณต้องการรันสิ่งนี้บนเครื่อง linux เองมันก็ใช้ได้เหมือนกัน แต่คุณต้องแทนที่FORWARDด้วยINPUTและคุณสามารถข้ามอินเทอร์เฟซการป้อนข้อมูลได้ นอกจากนี้คุณอาจต้องการเพิ่มACCEPTกฎ192.168.1.0/24เนื่องจาก LAN ของคุณน่าเชื่อถือที่สุด

สำหรับข้อมูลเพิ่มเติมดูบทช่วยสอนนี้หรือคู่มือ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.