Ubuntu पर फ्लशिंग iptables

2

किसी भी जोखिम के बिना पूरी तरह से Ubuntu सर्वर पर iptables को फ्लश कैसे करें ?.

मेरे पास कुछ ubuntu क्लाउड सर्वर हैं और मैं उन्हें ssh के माध्यम से एक्सेस करूंगा। मैं फ़ाइल "/etc/iptables.rules" में अपने iptable नियम दर्ज करता हूं और मैं इन नियमों को "iptables-restore </etc/iptables.rules" कमांड के साथ लागू करूंगा।

cat /etc/iptables.rules

* फिल्टर

: INPUT DROP [0: 0]

: फॉरवर्ड ACCEPT [0: 0]

: OUTPUT स्वीकार [0: 0]

-एक INPUT- लो लो -j ACCEPT

-एक INMUT राज्य - संबंधित संबंधित, स्थापित -j ACCEPT

-एक INPUT -m राज्य -i eth0 --स्टेट इस्टैब्लिश्ड, संबंधित -j ACCEPT

-एक INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-एक INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-एक INPUT -p tcp -m tcp --dport 10000 -j ACCEPT

COMMIT

मेरे आईटी प्रबंधक ने उपकरण को "nmap" के साथ खुले बंदरगाहों के रूप में सूचीबद्ध कुछ बंदरगाहों की जाँच की और पाया, जिन्हें मैंने /etc/iptables.rules फ़ाइल में शामिल नहीं किया था और मुझे जल्द ही इसे ठीक करने के लिए कहा गया है। इसलिए मैंने अभी अनुमान लगाया (ठीक से नहीं जानता) कि इसे iptable नियमों की निस्तब्धता की आवश्यकता हो सकती है और यह मेरी बहुत बड़ी गलती थी और मुझे लगा कि यह स्थिति 'प्रशासक' के लिए शर्म की बात है। मैंने अपने मौजूदा ssh सत्र को समाप्त करने के तुरंत बाद "iptables -F" का उपयोग किया और उस क्लाउड सर्वर को सीधे एक्सेस करने योग्य भी नहीं था। फिर मैंने इसे "रेस्क्यू मोड" में शुरू किया और डिफ़ॉल्ट iptable नियम लागू किए गए। तब से मैं तनावग्रस्त हो जाता हूं अगर यह iptables के बारे में है।

इस मंच ने मुझे बहुत मदद की और मुझे उम्मीद है कि यह जोखिम आसान हो जाएगा।

  1. IPtable नियमों और निस्तब्धता का उचित तरीका है
  2. केवल अनुमत बंदरगाहों को खुले बंदरगाहों के रूप में सूचीबद्ध किया जाना चाहिए

मदद चाहिए...

मैं iptables निस्तब्धता के लिए एक स्थानीय मशीन पर निम्नलिखित की जाँच करें और यह काम किया:

/ sbin / iptables --policy INPUT ACCEPT

/ sbin / iptables --policy OUTPUT ACCEPT

/ sbin / iptables - पॉरलसी फ़ॉरवर्ड ACCEPT

/ sbin / iptables -F

मैं गलत पहचान से बचने के लिए 'iptables-apply /etc/iptables.rules' का उपयोग करूंगा। तो क्या फ़ाइल /etc/iptables.rules में फ्लशिंग के लिए प्रविष्टियों को ऊपर रखना संभव है।?

यानी, उपरोक्त प्रविष्टियों को iptables.rules फ़ाइल में रखना।

मेरे पास नैम्प मॉनिटरिंग टूल स्थापित है। मैंने खुले बंदरगाहों की जांच करने के लिए निम्नलिखित का उपयोग किया:

nmap -vv -sS -O –T2 –R --randomize_hosts -oA सदा 192.168.2.101

यह कुछ बंदरगाहों (https, ftp ...) को खुले बंदरगाहों के रूप में दिखाता है जो उपरोक्त iptable नियमों में शामिल नहीं हैं। निम्नलिखित नम नमन के बाहर रखा गया है

एनएसई: स्कैनिंग के लिए 0 स्क्रिप्ट लोड की गई।

दिए गए होस्टनाम / IP को हल करने में विफल: -sS। ध्यान दें कि आप '/ मास्क' और '1-4,7,100-' शैली का उपयोग नहीं कर सकते हैं, जो कि दिए गए होस्टनाम / आईपी: -T2 को हल करने में विफल रहता है। ध्यान दें कि आप '/ मास्क' और '1-4,7,100-' शैली का उपयोग नहीं कर सकते हैं, जो कि दिए गए होस्टनाम / आईपी: -R को हल करने में विफल रहता है। ध्यान दें कि आप '/ मास्क' और '1-4,7,100-' शैली का उपयोग नहीं कर सकते हैं, आईपी में 1 होस्ट के समानांतर DNS रिज़ॉल्यूशन की शुरुआत होती है। 15:36 बजे

1 होस्ट के समानांतर DNS रिज़ॉल्यूशन पूरा किया गया। 15:36 बजे, 0.02 सेकंड बीत गए

15:36 पर SYN चुपके स्कैन आरंभ करना

192.168.2.101 स्कैन [1000 बंदरगाहों]

192.168.2.101 को खुला बंदरगाह 21 / tcp की खोज की

192.168.2.101 को खुला बंदरगाह 443 / tcp

192.168.2.101 को खुला बंदरगाह 25 / टीसीपी

192.168.2.101 को खुला बंदरगाह 22 / tcp की खोज की

192.168.2.101 को खुला बंदरगाह 80 / टीसीपी की खोज की

192.168.2.101 को खुला बंदरगाह 10000 / टीसीपी की खोज की

192.168.2.101 को खुला बंदरगाह 8009 / टीसीपी

192.168.2.101 को खुला बंदरगाह 8081 / टीसीपी

15:36, 0.07s बीता हुआ (1000 कुल पोर्ट) SYN चुपके स्कैन पूरा

192.168.2.101 के खिलाफ OS का पता लगाने (# 1 का प्रयास करें) शुरू करना

192.168.2.101 के खिलाफ OS का पता लगाना (# 2 आज़माना)

192.168.2.101 के खिलाफ OS का पता लगाने (# 3 का प्रयास करें) को पुनः प्राप्त करना

192.168.2.101 के खिलाफ OS का पता लगाने (# 4 का प्रयास करें) को पुनः प्रयास करें

192.168.2.101 के खिलाफ OS का पता लगाने (# 5 का प्रयास करें) को पुनः प्राप्त करना

मेजबान 192.168.2.101 ऊपर (0.000096s विलंबता) है।

12-10 के लिए 2010-10-06 15:36:46 IST पर जारी किया गया

192.168.2.101 को दिलचस्प पोर्ट:

नहीं दिखाया गया: 992 बंद बंदरगाह

पोर्ट स्टेट सर्विस

21 / tcp ओपन एफ़टीपी

22 / tcp खुला ssh

25 / tcp ओपन smtp

80 / टीसीपी खुला http

443 / tcp ओपन https

8009 / टीसीपी खुली ajp13

8081 / टीसीपी खुला ब्लैकिस-आईकैप

10000 / tcp ओपन सेनेट-सेंसर-एमजीएमटी

होस्ट के लिए कोई सटीक OS मिलान नहीं है (यदि आप जानते हैं कि ओएस किस पर चल रहा है, तो http://nmap.org/submit/ देखें )।

'Netstat -an | grep "लिस्टेन" ':

tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN

tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN

tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN

tcp6 0 0 ::: 8081 ::: * लिस्टेन

tcp6 0 0 ::: 22 ::: * लिस्टेन

tcp6 0 0 ::: 8009 ::: * लिस्टेन

धन्यवाद!

iptables 
user53864
स्रोत

जवाबों:

2

यदि जंजीरों के लिए डिफ़ॉल्ट नीति है DENYतो सभी कनेक्शन काट दिए जाएंगे क्योंकि टीसीपी / आईपी के माध्यम से संचार करने का कोई तरीका नहीं है। डिफ़ॉल्ट नीतियों को ACCEPTफ़्लश करने से पहले सेट करें , और फिर DENYनियमों को फिर से स्थापित करने के बाद वापस करें ।

इग्नासियो वाज़क्वेज़-अब्राम्स
स्रोत
क्या आप अधिक विस्तार से बताएंगे। कृपया यहां कदम रखें।
user53864
जिस तरह मैन पेज कहता है, -Pएक चेन के लिए डिफ़ॉल्ट पॉलिसी को निर्दिष्ट करने के लिए उपयोग किया जाता है।
इग्नासियो वाज़केज़-अब्राम्स
क्या यह जांचने का कोई अन्य तरीका है कि उन्हें लागू करने से पहले iptable नियम ठीक काम करता है या नहीं।
user53864
0

अपने फ़ायरवॉल परिवर्तनों के दौरान सुरक्षा जाल लगाने के लिए आप एक छोटी स्क्रिप्ट को तैनात कर सकते हैं - जो कि क्रॉस्टैब की मदद से - नियमित रूप से आपके फ़ायरवॉल को खोलता है। सभी परिवर्तनों को सफलतापूर्वक पूरा करने के बाद ही आप इस क्रोन को निष्क्रिय कर सकते हैं। देखें यहाँ

MarkHelms
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.