Iptables বজায় রাখা সহজ করা

14

শ্বেত তালিকাভুক্ত কয়েকটি সাইট ব্যতীত আমার নেটওয়ার্ক পুরোপুরি লক হয়ে গেছে। এটি সমস্ত আইপটবেলের মাধ্যমে সম্পন্ন হয়েছে যা দেখতে এরকম কিছু দেখাচ্ছে:

# Allow traffic to google.com
iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT
iptables -A zone_lan_forward -p tcp -d 11.12.13.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 11.12.13.0/24 -j ACCEPT
iptables -A zone_lan_forward -p tcp -d 101.102.103.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 101.102.103.0/24 -j ACCEPT
...

স্পষ্টতই সেই ঠিকানাগুলি অনুমানমূলক, তবে আপনি ধারণাটি পাবেন। আমার ফায়ারওয়াল বিশাল হয়ে উঠছে। যদি আমি কেবল এটি করতে পারি তবে এটি বজায় রাখা আরও সহজ হবে:

# Allow traffic to google.com
iptables -A zone_lan_forward -p tcp -d google.com -j ACCEPT
iptables -A zone_lan_forward -p udp -d google.com -j ACCEPT

আমি বিশ্বাস করি এটি সম্ভব, যেহেতু man iptablesবলেছেন:

ঠিকানা হয় কোনও নেটওয়ার্কের নাম, একটি হোস্ট-নেম (দয়া করে নোট করুন যে কোনও নাম যেমন ডিএনএসের মতো দূরবর্তী প্রশ্নের সাথে সমাধান করা উচিত তা নির্দিষ্ট করে দেওয়া খারাপ ধারণা), একটি নেটওয়ার্ক আইপি ঠিকানা (/ মাস্ক সহ), বা একটি সাধারণ আইপি ঠিকানা।

তবে আমি যে বিষয়টি নিয়ে উদ্বিগ্ন তা হ'ল "যে কোনও নামকে সমাধান করার জন্য নির্দিষ্ট করা ... ডিএনএস একটি সত্যই খারাপ ধারণা" says কেন এটি একটি খারাপ ধারণা? এটি কি সবকিছুকে ধীর করে দেয়?

আমি যদি iptables বিধিগুলিতে হোস্ট-নেমগুলি সত্যিই ব্যবহার না করি তবে আমার ফায়ারওয়ালটি সহজ করার জন্য আমার কী করা উচিত?

domain-name-system  iptables  firewall  ip-address  hostname 
বড় ম্যাকলার্জহিউজ
সূত্র
আপনি সিকিউরিটি.স্ট্যাকেক্সচেঞ্জ.কম এ আরও ভাল উত্তর পাবেন
জিম বি
আপনি হয়ত ঠিক বলেছেন যে এই প্রশ্নটি সেই সাইটেই অন্তর্ভুক্ত, তবে আপনি যদি স্বীকৃত উত্তর নিয়ে কোনও সমস্যা হন তবে দয়া করে কেন তা ব্যাখ্যা করুন।
বড় ম্যাকলার্জহিউজ 17'13
আপনি যদি নিজের নেটওয়ার্কটি লক করে রাখার বিষয়ে এবং কীভাবে এটি সম্পর্কে জানতে চান তবে সুরক্ষা সম্পর্কে জিজ্ঞাসা করুন, আপনি যদি iptables ব্যবহার করতে চান (IPtables ব্যবহারের বিপরীতে) তবে এই জায়গাটি।
জিম বি

উত্তর:

28
  • ডিএনএস নামগুলি যখন বিধিগুলি যুক্ত হয় তখন সমাধান হয়, যখন প্যাকেটগুলি চেক করা হয় না। এটি বেশিরভাগ মানুষের প্রত্যাশা লঙ্ঘন করে।
    • পরিবর্তিত ডিএনএস ফলাফলগুলি প্রতিফলিত করতে নিয়মটি আপডেট হয় না। যুক্ত হওয়ার পরে এটি সমাধান করা হয় এবং এটি হ'ল। আপনাকে নিয়মিতভাবে নিয়মগুলি পুনরায় লোড করতে হবে, বা কিছু সাইটগুলি ভেঙে যেতে পারে।
  • সুরক্ষার কিছুটা সমস্যা রয়েছে যে আপনি মূলত আপনার ফায়ারওয়াল বিধিগুলির নিয়ন্ত্রণ একটি বাহ্যিক সত্তার কাছে অর্পণ করছেন।
    • যদি আপনার পিতামাতা ডিএনএস সার্ভার আপোস হয় এবং মিথ্যা ডেটা ফেরত দেয় What

যদি আপনার উদ্দেশ্য HTTP অ্যাক্সেস অবরুদ্ধ করা হয়, তবে আপনি সাধারণত সেই স্তরে ফিল্টার করার জন্য ডিজাইন করা একটি সফ্টওয়্যার সেট করার চেয়ে অনেক ভাল (যেমন স্কুইড + স্কুইডকোয়ার্ড)।

Zoredache
সূত্র
1) আমি দেখতে পাচ্ছি যে এটি কীভাবে সমস্যা হতে পারে - google.com আজকে 1.2.3.4 এ সমাধান করতে পারে তবে আগামীকাল সেই ঠিকানাটি অবৈধ। ফায়ারওয়ালটি পুনরায় চালু করা কি এটির যত্ন নেবে? 2) ডিএনএস সার্ভারটি সুপরিচিত - যেমন গুগলের ডিএনএস বা ওপেনডিএনএস-তে এটি সুরক্ষার সমস্যা?
বড় ম্যাকলার্জহিউজ
1
আমি এটিকে উত্তর হিসাবে চিহ্নিত করেছি কারণ এটি ব্যাখ্যা করে যে আমাকে iptables বিধিগুলিতে হোস্টনামগুলি কেন ব্যবহার করা উচিত নয় এবং আমার ফায়ারওয়ালকে সহজ করার জন্য আমাকে ক্রিয়াকলাপ দেয়।
বড় ম্যাকলার্জহিউজ
আমি স্কুইডের জন্য আমার সমর্থন যুক্ত করতে চাই। আমি আমার অফিসের জন্য স্কুইড বাস্তবায়ন করেছি এবং একবার হোয়াইট লিস্টিং হোস্টগুলির জন্য এটি বজায় রাখা খুব সহজ (যদিও আমি এটি কালো তালিকাতে ব্যবহার করি)। দেখে মনে হচ্ছে আপনার হাতে একটি স্মৃতিস্তম্ভ রয়েছে; গুগল উদাহরণস্বরূপ শ্বেত তালিকাভুক্ত করা কোথায় শুরু করব তা আমি জানতাম না। www.google.com একা 5 আইপি সমাধান করে, যা ssl.gstatic.com, এবং প্রমাণীকরণের সাথে জড়িত অন্যান্য সমস্ত হোস্ট, জি + ইত্যাদির জন্য কিছুই না বলে যা সম্ভবত প্রতিটি একাধিক আইপি সমাধান করে।
s.co.tt
স্মৃতিসৌধ এটি করা ভাল উপায়। তবে আমি গুগলকে উদাহরণ হিসাবে ব্যবহার করছিলাম। আমার ফারওয়ালটির একটি প্রাথমিক রূপরেখা এরকম হয়: প্যাকেটের গন্তব্য যদি শ্বেত তালিকাভুক্ত থাকে তবে তা গ্রহণ করুন। অন্যথায় এটি একটি প্রক্সি সার্ভারের মাধ্যমে প্রেরণ করুন।
বড় ম্যাকলার্জহিউজ 17'13
লোড ব্যালেন্সিংয়ের জন্য ডিএনএস ব্যবহার করা সিস্টেমগুলির সমস্যাও রয়েছে। আপনি যদি এই জাতীয় ডোমিকে পরপর দুবার সন্ধান করেন তবে আপনি একই ফলাফল পাবেন না, তাই একক অনুসন্ধান এমনকি আপনাকে আইপি ঠিকানার একটি সম্পূর্ণ তালিকা দিতে পারে না যা ডোমেনটি সম্ভবত সমাধান করতে পারে।
সিডিউইউই
10

আপনি যদি আপনার ফায়ারওয়ালে হোস্টনাম ব্যবহার করেন তবে আপনার ফায়ারওয়াল এখন ডিএনএসের উপর নির্ভরশীল। এটি ফায়ারওয়ালটিকে কয়েকটি ইস্যুতে খোলে:

  • উচ্চ ভলিউমের অধীনে ডিএনএস অনুসন্ধানগুলি বিলম্ব হতে পারে।
  • ডিএনএস পরিবর্তনগুলি তাত্ক্ষণিকভাবে প্রচার করে না। সুতরাং আপনার ফায়ারওয়াল ক্যাশেড আইপি ব্যবহার করতে পারে।
  • ডিএনএসকে স্পোফ করা, হাইজ্যাক, হ্যাক করা যায়।
  • ডিএনএস ব্যর্থ হতে পারে - এর অর্থ আপনার ফায়ারওয়াল ব্যর্থ।
  • আপনার ফায়ারওয়াল বিধিগুলি এখন তৃতীয় পক্ষ দ্বারা নিয়ন্ত্রিত।

আপনি যদি হোস্টনাম ব্যবহার করেন এবং আপনি ডিএনএস নিয়ন্ত্রণ করেন না, তবে অন্য কেউ কার্যকরভাবে আপনার আইপিটিবেলস নিয়ম নিয়ন্ত্রণ করে। ভুল, ত্রুটি বা তাদের শেষের দিকে সুরক্ষা সম্পর্কিত সমস্যাগুলি আপনার জন্য সমস্যা হয়ে দাঁড়িয়েছে।

আমি কেবলমাত্র হোস্ট-নেমগুলি ভালভাবে দেখেছি অভ্যন্তরীণ ক্রিয়াকলাপ। আমি একটি অফিসে কাজ করেছি যেখানে আইপি এবং হোস্টনামগুলি ডিএইচসিপির মাধ্যমে নির্ধারিত হয়েছিল। ফায়ারওয়ালগুলি বিভিন্ন গোষ্ঠীর মধ্যে বাধা রাখতে হোস্ট-নেম ব্যবহার করে। যেহেতু এগুলি সমস্ত অভ্যন্তরীণভাবে নিয়ন্ত্রিত ছিল এটি ভালভাবে কাজ করেছিল।

jeffatrackaid
সূত্র
2
এটি একটি ভাল উত্তর তবে এটি সেই অংশটি হারিয়েছে যা আমাকে ফায়ারওয়ালকে সহজতর করতে সহায়তা করবে।
বড় ম্যাকলার্জহিউজ
3

আপনার নিয়মগুলি ম্যানটেন করা সহজ করার জন্য আপনি শোরওয়াল জাতীয় iptables এর চারপাশে একটি মোড়ক ব্যবহার করতে পারেন।

Jure1873
সূত্র
এটি একটি ভাল ধারণা তবে আপনি আমাকে বলেননি কেন আমি iptables নিয়মে হোস্টনাম ব্যবহার করা উচিত নয়।
বড় ম্যাকলার্জহিউজ
শোরওয়াল সম্পর্কে আমি বেশি কিছু জানি না, তবে আমি এই ধারণাটির আওতায় আছি যে ডেভিডকেনডে 85 এখনও শোরওয়াল কনফিগারেশনের মধ্যে দিয়ে যেতে চান এমন একটি পরিষেবার প্রতিটি আইপি ঠিকানার তালিকা বজায় রাখতে হবে। এটি নেটফিল্টার পরিচালনা [এবং ইত্যাদি] কিছুটা সহজ করতে পারে তবে তার মূল সমস্যাটি সমাধান করতে পারে না, এটি আইপিগুলির একটি বিশাল তালিকা।
s.co.tt
2

অন্যরা ইতিমধ্যে বলেছে আপনি ডিপিএসের সমাধানযোগ্য নামগুলি iptables নিয়মে ব্যবহার করবেন না। এগুলি ত্রুটিযুক্ত, তৃতীয় পক্ষ দ্বারা নিয়ন্ত্রিত এবং সাধারণত একটি খারাপ জিনিস (টিএম) হয়। আমি আরও যোগ করব যে iptables পরিষেবা শুরু হওয়ার সময় আপনার ডিএনএস ব্যর্থ হতে পারে বা অ্যাক্সেসযোগ্য হতে পারে। এক্ষেত্রে নিয়মটি মোটেও যুক্ত করা হবে না এবং সম্পূর্ণ নতুন ধরণের সমস্যা দেখা দিতে পারে (যেমন পুনরায় আরম্ভের পরে এসএসএস অ্যাক্সেসটি হারাতে)।

আপনি যা করতে পারেন তা হ'ল:

  1. নিয়মগুলি যৌক্তিকভাবে আলাদা করতে কাস্টম চেইন ব্যবহার করুন
  2. ipsetবিধিগুলি থেকে গোষ্ঠীভুক্ত এবং বিচ্ছিন্ন ঠিকানাগুলি ব্যবহার করতে এস ব্যবহার করুন
  3. নিয়মে মন্তব্য যুক্ত করুন

এছাড়াও নুন হোস্টনামগুলি সম্পর্কে খারাপ কিছু বলেননি যা ডিএনএস দ্বারা সমাধান করা হয় না (উদাহরণস্বরূপ নির্দিষ্ট করা আছে you hostsআপনার যদি প্রয়োজন হয় তবে আপনি সেগুলি ব্যবহার করতে পারেন।

skarap
সূত্র
হ্যাঁ, ipsetএর উত্তর। আইপিএস আপডেট করার জন্য ক্রন্টব থেকে চালানো স্ক্রিপ্ট।
mivk
2

আমি ব্যক্তিগতভাবে একটি আইপি / / etc / হোস্টগুলিতে একটি হোস্টনাম নির্ধারণ করি এবং তারপরে এটি আইপ্যাটেবলগুলিতে ব্যবহার করি।

এইভাবে আপনি

  1. আপনার ফায়ারওয়াল বিধিগুলি কোনও বাহ্যিক সত্তায় অফলোড করবেন না
  2. সহজেই রক্ষণাবেক্ষণযোগ্য iptables আছে
T4cC0re
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.