স্থানীয়ভাবে আউটবাউন্ডে উত্পন্ন ট্রাফিকের অনুমতি দেওয়ার জন্য আইপটিবলস বিধি?

আমি ভাবছিলাম যে কেউ যদি আমাকে নিম্নলিখিত আইপটিবল নিয়মে সহায়তা করতে পারে:

আমরা স্থানীয়ভাবে উদ্ভূত যে কোনও এবং সকলকে (iptables সার্ভারে চলমান) ট্র্যাফিকের অনুমতি দিতে চাই।

ডিএনএস, এইচটিটিপি, ইত্যাদি ... সব কিছু। Iptables চলমান সার্ভার দ্বারা চালিত যে কোনও সংযোগের অনুমতি দেওয়া উচিত।

বর্তমানে আমরা মূলত OUTPUT ডিফল্ট নীতি, এসিসিপিটি ব্যবহার করছি। এটা কি সঠিক? ইনপুটগুলি অবরুদ্ধ করা হয়েছে, সুতরাং আমি ধরে নিচ্ছি এর অর্থ হ'ল সংযোগগুলি (আমরা অনুমতি দিচ্ছি ব্যতীত) আরম্ভ করা যাবে না কারণ আমাদের পক্ষের OUTPUT নীতিতে আঘাত হানার আগে সেগুলি বাদ দেওয়া হবে?

দুঃখিত, আমার iptables দক্ষতা দুর্বল;)

কল্যাণকামী আপনাকে ধন্যবাদ.

iptables

— বেনামী এক
সূত্র

উত্তর:

এটি করার জন্য আপনার দুটি নিয়ম দরকার:

iptables -I OUTPUT -o eth0 -d 0.0.0.0/0 -j ACCEPT
iptables -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

কিছু নোট।

আপনার থাকতে পারে এমন প্রাকসিসিটিং বিধিগুলি ইতিমধ্যে এটি করতে পারে তবে অন্যরকম দেখায়।
এটি -Iএই নিয়মগুলিকে প্রথম হতে বাধ্য করতে ব্যবহার করে। iptablesনিয়ম নীচে নিচে মূল্যায়ন করা হয়।
-oএবং -iপতাকা যথাক্রমে "এ" "আউট" এবং মানে। eth0যথাযথ ইথারনেট ইন্টারফেসের নাম দিয়ে প্রতিস্থাপন করুন ।

— bahamat
সূত্র

আমাদের উভয়ই :) আমি ২ য়টির উল্লেখ করতে ব্যর্থ হয়েছি কারণ আমি বলেছিলাম ... আমার iptables দক্ষতা দুর্বল সস। স্পষ্টতার জন্য ধন্যবাদ :)

— বেনামে-এক

-d 0.0.0.0/0অপ্রয়োজনীয় এবং প্রয়োজন হয় না।

— zapstar

দুর্দান্ত উত্তর। তবে এখন আমি সার্ভারটি পিং করতে সক্ষম হয়েছি এবং কেন তা বুঝতে পারছি না। তুমি কি ব্যাখ্যা করতে পারো?

— ড্যানিয়েল

@ ড্যানিয়েল কারণ আপনি যদি কেবল আউটবাউন্ড ট্র্যাফিকের অনুমতি দেন তবে পিং উত্তরটি আপনার হোস্টে পৌঁছালে প্যাকেট ফিল্টার দ্বারা নামিয়ে দেওয়া হবে। এটি প্রতিরোধ করতে, আপনাকে আগত ট্র্যাফিকেরও অনুমতি দিতে হবে যা কোনও বহির্গামী ট্র্যাফিকের সাথে একই সেশনের সাথে সম্পর্কিত বা সম্পর্কিত। অন্য কথায়, পিং উত্তরটি পিংয়ের অনুরোধের সাথে সম্পর্কিত বলে এটি অনুমোদিত হতে হবে should যদি আসন্ন পিংয়ের অনুরোধ থাকে এবং সেশন টেবিলে কোনও আউটগোয়িং পিং রেকর্ড করা না হয় তবে আগত প্যাকেটটি বাদ দেওয়া হবে। আশা করি তা উপলব্ধি!

— বাহামাত

@ বাহাহাত: আমি আবার চেষ্টা করার পরে, আমি দেখতে পেলাম যে আমার স্পষ্টতই আইসিএমপি ট্র্যাফিকের অনুমতি দেওয়া দরকার। এবং আমি সার্ভারটি পিং করতে সক্ষম হওয়ার বিষয়ে বলছিলাম, যেখানে আমি উপরের নিয়মগুলি প্রয়োগ করেছি। এটি বিটিডব্লিউ পুনরুত্পাদন করতে পারে না, সম্ভবত আমি কোথাও ভুল করেছি। যাই হোক ধন্যবাদ.

— ড্যানিয়েল

বর্তমানে আমরা মূলত OUTPUT ডিফল্ট নীতি, এসিসিপিটি ব্যবহার করছি।

এটি OUTPUT এর পক্ষে যথেষ্ট কারণ স্টেটফুল সংযোগ ট্র্যাকিং শুরু করতে নেটফিল্টারের বিশেষ নিয়মের দরকার নেই।

তবে আপনি যদি " ডিফল্ট অস্বীকার " নীতি অনুযায়ী ইনবাউন্ড ট্র্যাফিক ফিল্টার করতে চান তবে INPUTএটিতে স্যুইচিংয়ের মাধ্যমে এটি করা যেতে পারে DROP:iptables -P INPUT DROP

এরপরে এগুলি সমস্ত মাত্র 2 টি বিধি দ্বারা সেট করা হবে :

iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED

লুপব্যাক ইন্টারফেসে ইনপুট ট্র্যাফিকের অনুমতি দেওয়ার নিয়মে আপনার মনোযোগ দিন - যেমনটি আমি আমার ব্লগে " শেষ ব্যবহারকারীর জন্য ন্যূনতম ফায়ারওয়াল " পোস্টে উল্লেখ করেছি , সুস্পষ্টভাবে অনুমতি না দেওয়া না হলে ফিরে আসার তুলনায় লুপব্যাক ট্র্যাফিক "প্রতিষ্ঠিত" রাষ্ট্রীয় চেকিং দ্বারা পরিচালিত হবে না ট্র্যাফিক ওভার, বলুন eth0।

এই ন্যূনতম রুলেসেটটি " যেমন " w / o ইতিমধ্যে উপস্থিত বিধিগুলিতে হস্তক্ষেপ করছে সেটিকে লোড করা হয়েছে তা নিশ্চিত করার জন্য , iptables-restoreশেল-সেশনে এটি ব্যবহার করা সুবিধাজনক :

lptables-restore <<__EOF__
-P INPUT DROP
-A INPUT -j ACCEPT -i lo
-A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
__EOF__

এটি করার আগে নিশ্চিত হয়ে নিন যে আপনি নিজের নেটওয়ার্কিং সংযোগটি ^{1 টি}কাটবেন না , যদিও ইতিমধ্যে খোলা এসএসএইচ সেশনগুলি স্বাভাবিকভাবে কাজ করা উচিত, নতুন খোলার প্রচেষ্টা কার্যকর হবে না।

অবশ্যই আপনি এই জাতীয় সংযোগের অনুমতি দেওয়ার জন্য অন্যান্য বিধিগুলি যুক্ত করতে পারেন। এটি ঠিক যেমন সহজ হতে পারে -A INPUT -j ACCEPT -p tcp --dport 22- -m stateএখানে টিঙ্কার করার দরকার নেই। এটি চেষ্টা lptables-restoreকরার iptables-restoreআগে আবার ঠিক করতে ভুলবেন না ;)

— poige
সূত্র