श्वेतसूची ने IPtables का उपयोग करके IPs (in / out) की अनुमति दी


21

मेरे पास कुछ आईपी रेंज हैं जिनसे मैं चाहता हूं कि मेरा सर्वर कनेक्ट करने में सक्षम हो और उपयोगकर्ता कनेक्ट हो सकें। बाकी सब अवरुद्ध होना चाहिए।

मुझे iptables के साथ कैसे करना चाहिए?

मेरा ओएस डेबियन आधारित लिनक्स वितरण है।

जवाबों:


27

मैं सुझाव दूंगा कि फायरवॉल विन्यास उपकरण, जैसे कि फायरस्टार , और वहां से जाना। यहाँ आपके लिए कुछ मूल बातें हैं, हालाँकि।

#Flush existing rules
iptables -F
# Set up default DROP rule for eth0
iptables -P INPUT DROP
# Allow existing connections to continue
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Accept everything from the 192.168.1.x network
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
# Allow connections from this host to 192.168.2.10
iptables -A OUTPUT -o eth0 -d 192.168.2.10 -j ACCEPT

3
आप जानते हैं कि आप 101010 बटन का उपयोग करके सर्वर कोड में अपना कोड प्रारूपित कर सकते हैं। इस तरह आपकी टिप्पणी चिल्लाहट के रूप में सामने नहीं आएगी। बस कोड को चुनें (अपने माउस को खींचें) और फिर टेक्स्ट फ़ील्ड के ऊपर 101010 बटन पर क्लिक करें।
जेसन टैन

2
आह, धन्यवाद, मुझे यह महसूस नहीं हुआ। अब मुझे पता है :)
झेनहम

1
EXISTING के लिए +1, संबंधित - बहुत से लोग ऐसा नहीं करते हैं।
अलनीतक

1
भगवान के प्यार के लिए, कृपया डिफ़ॉल्ट DROP नियम निर्धारित करें! मैंने खुद को (और बाकी सब कुछ!) मशीन के संचालन के उस क्रम का पालन करते हुए बंद कर दिया।
बेंदोह

1
भयानक जवाब। ओपी का कहना है कि सभी वर्तमान कनेक्शनों को छोड़ने के बारे में कुछ भी नहीं है। अब मैं बाहर बंद हूं क्योंकि मैंने शीर्ष उत्तर को अर्थपूर्ण बना दिया।
omikes

14
iptables -I INPUT -s <allowed_ip> -j ACCEPT #(repeat this line as needed)
iptables -P INPUT DROP

यह आपके सिस्टम को गैर-अनुमत कंप्यूटरों के लिए एक गैर-मौजूद सिस्टम में बदल देगा।


7

यदि आप संपूर्ण सबनेट के बजाय मनमानी श्रेणी को अनुमति देना चाहते हैं, तो आप 'iprange' iptables मॉड्यूल का उपयोग कर सकते हैं:

iptables -P INPUT DROP

iptables -A INPUT -m iprange --src-range 192.168.1.30-50 -j ACCEPT

उदाहरण के लिए, 192.168.1.30 और 192.168.1.50 के बीच पते वाली सभी मशीनों से आने वाले ट्रैफ़िक की अनुमति देगा।

यदि आप आने वाले और बाहर जाने वाले ट्रैफ़िक को IP की एक ही श्रेणी में अनुमति देना चाहते हैं, तो मेरा सुझाव है कि आप एक विशिष्ट श्रंखला बनाएं जिससे कि IPs और उसके लिए सभी इनपुट और आउटपुट लक्ष्य को लक्षित किया जा सके:

- कभी-कभी छोड़ने के लिए डिफ़ॉल्ट नीतियां तय करें:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

- नई श्रृंखला बनाएँ:

iptables -N allowed_ips

- यदि स्रोत अनुमत सीमा का हिस्सा है, तो स्वीकार करें

iptables -A allowed_ips -m iprange --src-range 192.168.1.30-50 -j ACCEPT

- यदि नहीं, तो प्रसंस्करण जारी रखने के लिए कॉलर श्रृंखला पर वापस लौटें

iptables -A allowed_ips -j RETURN

- मशीन में प्रवेश करने और छोड़ने के सभी ट्रैफ़िक को हमारी नई श्रृंखला से गुज़रें

iptables -A INPUT -j allowed_ips

iptables -A OUTPUT -j allowed_ips

और बस! बेशक आपको आदिकालीन नियमों की आवश्यकता हो सकती है, जैसे कि / से लेकर लो इंटरफ़ेस तक सभी ट्रैफ़िक की अनुमति देना आदि।


1

एक बार जब आप अपने नियमों से खुश हो जाते हैं, तो आप शायद उन्हें बचाना चाहते हैं । इस लिंक की टिप्पणियों में यह करने के लिए कई विकल्प हैं।

Iptables का उपयोग करने का एक आसान नियम सरल जरूरतों के लिए जनरेटर है UFW । पैकेज डेबियन अस्थिर में उपलब्ध है।

फायरस्टार भी आजमाएं । लेन में उपलब्ध है।


0

आप फ़र्म का भी उपयोग कर सकते हैं, जिसका उपयोग मैं पिछले एक साल से भी कर रहा हूँ और मुझे सशर्त फ़ायरवॉल नियमों जैसे मामलों में बहुत मदद मिली है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.