înregistrare Logare
Puncte:0
avatar Server

Simplificați setul de reguli iptables

drapel cn
Kevin Hamilton

Aș dori să simplific setul actual de reguli IPTABLES pentru serverul meu de e-mail. Folosesc IPSET pentru a crea o listă extinsă de adrese IP de blocat, apoi fac referire la acea listă în iptables. Cu toate acestea, în cazul meu, există doar 5 subrețele care trebuie să comunice cu serverul de e-mail, așa că m-am gândit că ar putea fi mai ușor să blochez toate accesul și apoi să permit în mod explicit doar subrețelele necesare. Să presupunem că cele 5 subrețele sunt 1.1.1.0/24, 2.2.2.0/24, 3.3.3.0/24, 4.4.4.0/24 și 5.5.50/24. Nu sunt îngrijorat să rețin traficul către anumite porturi, deoarece controlez dispozitivele de pe aceste subrețele. Poate cineva să sugereze o configurație de bază pentru iptables pentru a realiza acest lucru?

Mulțumesc, Kevin

27
0 + 0
drapel ng
Halfgaar
Nu știu IPSET, dar acesta este modul implicit de utilizare a iptables. Doar setați o politică de DROP în intrare și permiteți ESTABLISHED și subrețelele dvs. Și nu uitați de IPv6. Apoi, ați deschis încă potențial.
0
Răspunde
Puncte:0
Zareh Kasparian avatar Server
drapel us
Zareh Kasparian

Ar trebui să arate cam așa. Am numit cele 5 subrețele tale ca Subnet-X.X.X.X

-A INPUT -m set --match-set Subnet-1.1.1.1 src -j Accept
-A INPUT -m set --match-set Subnet-2.2.2.2 src -j Accept
-A INPUT -m set --match-set Subnet-3.3.3.3 src -j Accept
-A INPUT -m set --match-set Subnet-4.4.4.4 src -j Accept
-A INPUT -m set --match-set Subnet-5.5.5.5 src -j Accept
-A INTRARE -j CĂDERARE

Asigurați-vă că IP-ul sursă este inclus în oricare dintre aceste subrețele, altfel pachetul dvs. va fi abandonat. sau puteți adăuga o altă regulă și, în cazul în care IP-ul dvs. este static, faceți IP-ul definit ca sursă ACCEPTATĂ.

De asemenea, asigurați-vă că aveți acces la consolă disponibil, în cazul în care ceva nu merge bine, pentru a vă șterge regulile iptables.

0 + 0
Puncte:0
avatar Server
drapel cn
Kevin Hamilton

Iti multumesc foarte mult pentru raspunsul tau. De fapt, aș prefera să NU folosesc ipset, astfel încât să pot păstra configurația cât mai simplă posibil. De exemplu, ar funcționa următoarele?

-A INTRARE -s 1.1.1.0/24 -j ACCEPT

-A INTRARE -s 2.2.2.0/24 -j ACCEPT

-A INTRARE -s 3.3.3.0/24 -j ACCEPT

-A INTRARE -s 4.4.4.0/24 -j ACCEPT

-A INTRARE -s 5.5.5.0/24 -j ACCEPT

-A INTRARE -j CĂDERARE

Îmi cer scuze pentru ceea ce este probabil o întrebare de bază, dar acesta este un server live și vreau să fiu foarte atent.

Mulțumesc, Kevin

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.