আইপিটিবেলস: কেবল এসএসএইচ অ্যাক্সেসের অনুমতি দিন, বাইরে বা বাইরে কিছুই নয়


11

আপনি আইপিটিবেলগুলি কীভাবে কনফিগার করবেন যাতে এটি কেবল এসএসএইচকেই অনুমতি দেয় এবং অন্য কোনও ট্র্যাফিককে অভ্যন্তরীণ বা আউট করার অনুমতি দেয় না ?

যে কোনও সুরক্ষা সতর্কতা যে কেউ সুপারিশ করতে পারে?

আমার এমন একটি সার্ভার রয়েছে যা আমি বিশ্বাস করি যে GoDaddy থেকে সফলভাবে দূরে সরিয়ে গেছে এবং আমি বিশ্বাস করি যে আর ব্যবহার হয় না।

তবে আমি তা নিশ্চিত করতে চাই কারণ ... আপনি কখনই জানেন না। :)

নোট করুন যে এটি GoDaddy এর ভার্চুয়াল ডেডিকেটেড সার্ভার ... এর অর্থ কোনও ব্যাকআপ নেই এবং কার্যত কোনও সমর্থন নেই।

উত্তর:


13

আপনাকে কেবল ইনপুট এবং আউটপুট চেইনে ডিআরপি-তে ডিফল্ট নীতি সেট করতে হবে।

এসএসএইচ প্রবেশের জন্য, আপনাকে নিম্নলিখিত কমান্ডগুলির প্রয়োজন:

$ sudo iptables -P INPUT DROP
$ sudo iptables -P OUTPUT DROP
$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$ sudo iptables -A OUTPUT -o lo -j ACCEPT
$ sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

শেষ দুটি কমান্ড লুপব্যাক ট্র্যাফিকের অনুমতি দেয় কারণ কিছু অ্যাপ্লিকেশন সঠিকভাবে কাজ করতে এটি প্রয়োজন। আপনি -s source_ipবিকল্পটি ব্যবহার করে নির্দিষ্ট আইপি থেকে এসএসএইচ অ্যাক্সেসকে সীমাবদ্ধ করতে পারেন ।

উপরের মত নির্দেশ অনুসারে কমান্ডগুলি কার্যকর করা আপনার বর্তমান এসএসএইচ অধিবেশন স্থগিত করে। এটি কারণ iptables কমান্ডগুলি অবিলম্বে কার্যকর হয় effect আপনার মেশিনের সাথে দূরবর্তীভাবে কার্যকর করার সময় সংযোগের সক্ষমতা হারাতে এড়াতে আপনাকে এগুলি শেল স্ক্রিপ্টে কার্যকর করতে হবে।


4
--state RELATEDশেষ নিয়মে অপ্রয়োজনীয়; --state ESTABLISHEDযথেষ্ট। আপনি ডিএনএস ট্র্যাফিকের অনুমতি দিতে ইচ্ছুক হতে পারেন এবং লুপব্যাক ইন্টারফেসে সম্ভবত কোনও কিছুর অনুমতি দেওয়া উচিত, বা সমস্ত ধরণের জিনিস খুব বিরল আচরণ করতে পারে।
ম্যাডহ্যাটার

@ ম্যাডহ্যাটার: হ্যাঁ, আপনি বিশেষত লুপব্যাক স্টাফ সম্পর্কে ঠিক বলেছেন :)
খালেদ

ধন্যবাদ, আপনার কাছ থেকে পুরো ফাইলটি পাওয়া সম্ভব হবে? উদাহরণস্বরূপ, এমন কিছু যা আমি সরাসরি / etc / sysconfig / iptables এ অনুলিপি করতে পারি? যথাযথ সম্পাদনাগুলি করার জন্য আমার অন্তর্দৃষ্টি সম্পর্কে বিশ্বাস করার জন্য আমি এটির সাথে যথেষ্ট অভিজ্ঞতা অর্জন করি না।
ডিস্কো

2
পুনশ্চ. প্রতিষ্ঠা সংযোগটি প্রথম কমান্ডের পরে জোর করে বন্ধ করা হবে
user956584

3
আপনার এই আদেশগুলির ক্রমটি সত্যই পরিবর্তন করা উচিত। নীতি লাইনগুলি শেষ হিসাবে উপস্থিত হওয়া উচিত। যে কেউ কেবল এসএসএস অধিবেশনটিতে এটি অনুলিপি করছে তাকে HUPed করা হবে এবং তাৎক্ষণিকভাবে বন্ধ হয়ে যাবে
AndreasT

4

এটার মতো কিছু:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT  # or iptables -P INPUT DROP

iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j REJECT # or iptables -P OUTPUT DROP

1
আমার মনে হয় আপনি অর্থ -i loনা -s lo; আবার, শুধুমাত্র ESTABLISHEDরাষ্ট্রীয় বিধিগুলির প্রয়োজন, এবং সম্ভবত সেখানেও একটি হওয়া উচিত --sport 22। সবাই কেন অনুমতি দেওয়ার জন্য এত আগ্রহী RELATED?
ম্যাডহ্যাটার

@ ম্যাডহ্যাটার: সম্পর্কে RELATED: এটি পিং উত্তর এবং ডিএনএস জবাবগুলির মতো, টিসিপিবিহীন এমন স্টাফগুলির সাথে মিলে যাওয়ার জন্য কার্যকর। কমপক্ষে, আমি সর্বদা এটি অনুমান করেছি।
স্টিভেন সোমবার

2
আমার বিশ্বাস এটি কোনওটির সাথে মিলবে না। এটি মিলবে, উদাহরণস্বরূপ, কোনও আইসিএমপি হোস্ট-প্রশাসনিকভাবে-নিষিদ্ধ প্রতিক্রিয়া, তবে এটি যতটা সহায়ক তা প্রায় সহায়ক; এবং যোগ্য না হলে এটি কেবল আগের লাইনের সাথে সম্পর্কিত ট্র্যাফিকের সাথে নয়, কোনও সম্পর্কিত ট্র্যাফিকের সাথে মিলবে।
ম্যাডহ্যাটার

@ ম্যাডহ্যাটার: আমার ধারণা আপনি ঠিক আছেন কিনা তা দেখার জন্য আমাকে কয়েকটি পরীক্ষা চালাতে হবে। আমার অনুমানকে চ্যালেঞ্জ করার জন্য ধন্যবাদ
স্টিভেন সোমবার

হ্যাঁ, ইউডিপি ডিএনএস জবাব এবং আইসিএমপি প্রতিধ্বনির উত্তরগুলির সাথে মেলে যাচাই করার জন্য ESTABLISHED রাজ্যটি প্রয়োজনীয়।
স্টিভেন সোমবার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.