किसी भी जोखिम के बिना पूरी तरह से Ubuntu सर्वर पर iptables को फ्लश कैसे करें ?.
मेरे पास कुछ ubuntu क्लाउड सर्वर हैं और मैं उन्हें ssh के माध्यम से एक्सेस करूंगा। मैं फ़ाइल "/etc/iptables.rules" में अपने iptable नियम दर्ज करता हूं और मैं इन नियमों को "iptables-restore </etc/iptables.rules" कमांड के साथ लागू करूंगा।
cat /etc/iptables.rules
* फिल्टर
: INPUT DROP [0: 0]
: फॉरवर्ड ACCEPT [0: 0]
: OUTPUT स्वीकार [0: 0]
-एक INPUT- लो लो -j ACCEPT
-एक INMUT राज्य - संबंधित संबंधित, स्थापित -j ACCEPT
-एक INPUT -m राज्य -i eth0 --स्टेट इस्टैब्लिश्ड, संबंधित -j ACCEPT
-एक INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-एक INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-एक INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
COMMIT
मेरे आईटी प्रबंधक ने उपकरण को "nmap" के साथ खुले बंदरगाहों के रूप में सूचीबद्ध कुछ बंदरगाहों की जाँच की और पाया, जिन्हें मैंने /etc/iptables.rules फ़ाइल में शामिल नहीं किया था और मुझे जल्द ही इसे ठीक करने के लिए कहा गया है। इसलिए मैंने अभी अनुमान लगाया (ठीक से नहीं जानता) कि इसे iptable नियमों की निस्तब्धता की आवश्यकता हो सकती है और यह मेरी बहुत बड़ी गलती थी और मुझे लगा कि यह स्थिति 'प्रशासक' के लिए शर्म की बात है। मैंने अपने मौजूदा ssh सत्र को समाप्त करने के तुरंत बाद "iptables -F" का उपयोग किया और उस क्लाउड सर्वर को सीधे एक्सेस करने योग्य भी नहीं था। फिर मैंने इसे "रेस्क्यू मोड" में शुरू किया और डिफ़ॉल्ट iptable नियम लागू किए गए। तब से मैं तनावग्रस्त हो जाता हूं अगर यह iptables के बारे में है।
इस मंच ने मुझे बहुत मदद की और मुझे उम्मीद है कि यह जोखिम आसान हो जाएगा।
- IPtable नियमों और निस्तब्धता का उचित तरीका है
- केवल अनुमत बंदरगाहों को खुले बंदरगाहों के रूप में सूचीबद्ध किया जाना चाहिए
मदद चाहिए...
मैं iptables निस्तब्धता के लिए एक स्थानीय मशीन पर निम्नलिखित की जाँच करें और यह काम किया:
/ sbin / iptables --policy INPUT ACCEPT
/ sbin / iptables --policy OUTPUT ACCEPT
/ sbin / iptables - पॉरलसी फ़ॉरवर्ड ACCEPT
/ sbin / iptables -F
मैं गलत पहचान से बचने के लिए 'iptables-apply /etc/iptables.rules' का उपयोग करूंगा। तो क्या फ़ाइल /etc/iptables.rules में फ्लशिंग के लिए प्रविष्टियों को ऊपर रखना संभव है।?
यानी, उपरोक्त प्रविष्टियों को iptables.rules फ़ाइल में रखना।
मेरे पास नैम्प मॉनिटरिंग टूल स्थापित है। मैंने खुले बंदरगाहों की जांच करने के लिए निम्नलिखित का उपयोग किया:
nmap -vv -sS -O –T2 –R --randomize_hosts -oA सदा 192.168.2.101
यह कुछ बंदरगाहों (https, ftp ...) को खुले बंदरगाहों के रूप में दिखाता है जो उपरोक्त iptable नियमों में शामिल नहीं हैं। निम्नलिखित नम नमन के बाहर रखा गया है
एनएसई: स्कैनिंग के लिए 0 स्क्रिप्ट लोड की गई।
दिए गए होस्टनाम / IP को हल करने में विफल: -sS। ध्यान दें कि आप '/ मास्क' और '1-4,7,100-' शैली का उपयोग नहीं कर सकते हैं, जो कि दिए गए होस्टनाम / आईपी: -T2 को हल करने में विफल रहता है। ध्यान दें कि आप '/ मास्क' और '1-4,7,100-' शैली का उपयोग नहीं कर सकते हैं, जो कि दिए गए होस्टनाम / आईपी: -R को हल करने में विफल रहता है। ध्यान दें कि आप '/ मास्क' और '1-4,7,100-' शैली का उपयोग नहीं कर सकते हैं, आईपी में 1 होस्ट के समानांतर DNS रिज़ॉल्यूशन की शुरुआत होती है। 15:36 बजे
1 होस्ट के समानांतर DNS रिज़ॉल्यूशन पूरा किया गया। 15:36 बजे, 0.02 सेकंड बीत गए
15:36 पर SYN चुपके स्कैन आरंभ करना
192.168.2.101 स्कैन [1000 बंदरगाहों]
192.168.2.101 को खुला बंदरगाह 21 / tcp की खोज की
192.168.2.101 को खुला बंदरगाह 443 / tcp
192.168.2.101 को खुला बंदरगाह 25 / टीसीपी
192.168.2.101 को खुला बंदरगाह 22 / tcp की खोज की
192.168.2.101 को खुला बंदरगाह 80 / टीसीपी की खोज की
192.168.2.101 को खुला बंदरगाह 10000 / टीसीपी की खोज की
192.168.2.101 को खुला बंदरगाह 8009 / टीसीपी
192.168.2.101 को खुला बंदरगाह 8081 / टीसीपी
15:36, 0.07s बीता हुआ (1000 कुल पोर्ट) SYN चुपके स्कैन पूरा
192.168.2.101 के खिलाफ OS का पता लगाने (# 1 का प्रयास करें) शुरू करना
192.168.2.101 के खिलाफ OS का पता लगाना (# 2 आज़माना)
192.168.2.101 के खिलाफ OS का पता लगाने (# 3 का प्रयास करें) को पुनः प्राप्त करना
192.168.2.101 के खिलाफ OS का पता लगाने (# 4 का प्रयास करें) को पुनः प्रयास करें
192.168.2.101 के खिलाफ OS का पता लगाने (# 5 का प्रयास करें) को पुनः प्राप्त करना
मेजबान 192.168.2.101 ऊपर (0.000096s विलंबता) है।
12-10 के लिए 2010-10-06 15:36:46 IST पर जारी किया गया
192.168.2.101 को दिलचस्प पोर्ट:
नहीं दिखाया गया: 992 बंद बंदरगाह
पोर्ट स्टेट सर्विस
21 / tcp ओपन एफ़टीपी
22 / tcp खुला ssh
25 / tcp ओपन smtp
80 / टीसीपी खुला http
443 / tcp ओपन https
8009 / टीसीपी खुली ajp13
8081 / टीसीपी खुला ब्लैकिस-आईकैप
10000 / tcp ओपन सेनेट-सेंसर-एमजीएमटी
होस्ट के लिए कोई सटीक OS मिलान नहीं है (यदि आप जानते हैं कि ओएस किस पर चल रहा है, तो http://nmap.org/submit/ देखें )।
'Netstat -an | grep "लिस्टेन" ':
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp6 0 0 ::: 8081 ::: * लिस्टेन
tcp6 0 0 ::: 22 ::: * लिस्टेन
tcp6 0 0 ::: 8009 ::: * लिस्टेन
धन्यवाद!