অর্ধেক দ্বারা ফায়ারওয়াল নিয়ম হ্রাস করুন - tcp এবং udp এর জন্য একটি iptables নিয়ম

12

আমার ফায়ারওয়ালে আমার কাছে বেশ কয়েকটি আইপটেবলের নিয়ম রয়েছে যা দেখতে দেখতে এটি:

iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT

দুটি ঠিকানার জন্য কী আছে একটি শর্টকাট - একটি টিসিপি এবং একটি ইউডিপি - প্রতিটি ঠিকানার জন্য? মানে আমি এই জাতীয় কিছু করতে পারি:

iptables -A zone_lan_forward -p tcp,udp -d 1.2.3.0/24 -j ACCEPT
iptables  firewall  tcp  udp 
বড় ম্যাকলার্জহিউজ
সূত্র

উত্তর:

22

একটি নতুন চেইন তৈরি করুন যা কোনও টিসিপি এবং ইউডিপি প্যাকেট গ্রহণ করবে এবং স্বতন্ত্র আইপি / পোর্ট অনুমতিমূলক বিধি থেকে সেই চেইনে উঠবে:

iptables -N ACCEPT_TCP_UDP
iptables -A ACCEPT_TCP_UDP -p tcp -j ACCEPT
iptables -A ACCEPT_TCP_UDP -p udp -j ACCEPT

iptables -A zone_lan_forward -d 1.2.3.0/24 -j ACCEPT_TCP_UDP

এটি কয়েকটি অতিরিক্ত লাইনগুলির ওভারহেড যুক্ত করে, তবে টিসিপি / ইউডিপি নিয়মের সংখ্যা অর্ধেক করে।

আমি যুক্তিটি বাদ দেব না-p , কারণ আপনি কেবল আইসিএমপি-র জন্য ফায়ারওয়ালই খোলেন না, অন্য কোনও প্রোটোকলও। উপর iptables ম্যান পৃষ্ঠা থেকে -p:

নির্দিষ্ট প্রোটোকলটি টিসিপি, ইউডিপি, আইসিএমপি বা সমস্ত হতে পারে, বা এটি একটি সংখ্যাসূচক মান হতে পারে, এই প্রোটোকলগুলির মধ্যে একটি বা অন্য একটিকে উপস্থাপন করে। / ইত্যাদি / প্রোটোকল থেকে একটি প্রোটোকল নাম অনুমোদিত।

আপনি এখনই টিসিপি, ইউডিপি এবং আইসিএমপি ব্যতীত কোনও প্রোটোকল শুনছেন না , তবে ভবিষ্যতে কী থাকতে পারে তা কে জানে। অযথা ফায়ারওয়ালটি ছেড়ে দেওয়া খারাপ অভ্যাস হবে।

দাবি অস্বীকার: iptables কমান্ডগুলি আমার মাথার উপরের অংশ থেকে বন্ধ আছে; তাদের এটিএম পরীক্ষার জন্য এমন কোনও বাক্সে আমার অ্যাক্সেস নেই।

s.co.tt
সূত্র
এটি একটি খুব মার্জিত সমাধান যা অকারণে ফায়ারওয়ালটি খোলে না।
বড় ম্যাকলার্জহিউজ
4
গন্তব্য পোর্ট নম্বরের মাধ্যমে ফিল্টারিং করা গেলে নতুন চেইন তৈরির এই পদ্ধতিটি ব্যর্থ হবে। কেউ কি উল্লিখিত সমস্যা থেকে উত্তরণের পরামর্শ দিতে পারেন?
আমোর
@ আমোর এই উদাহরণে আপনি যদি শৃঙ্খলে -p allসমস্ত --dportনিয়ম ব্যবহার করেন তবে এটি আপনি যা zone_lan_forwardখুঁজছেন তা অর্জন করতে পারে। আমি অবশ্যই ধরে নিচ্ছি যে চেইনের কারণে কোনও নন-টিসিপি / ইউডিপি প্রোটোকল দিয়ে সেই চেইনে উঠার আর কোনও উপায় নেই ACCEPT_TCP_UDP। স্পষ্টতই এটি একটি ঝুঁকিপূর্ণ কৌশল যদি একাধিক লোকের নিয়ম সংশোধন করার অ্যাক্সেস থাকে এবং কেউ এই সূক্ষ্মতা না বুঝেই আপনার নিয়মগুলি সম্পাদন করে।
স্যামুয়েল হারমার
ওহো। চেইনের ক্রমটি খেয়াল করেনি। আমি ঠিক কীভাবে কাজ করতে বলেছি তার জন্য আপনাকে এই উদাহরণে চেইনের ক্রমটি স্যুইচ করতে হবে। সুতরাং ACCEPT_TCP_UDPঝাঁপ দেয় zone_lan_forwardযা পরে লাফ দেয় ACCEPT
স্যামুয়েল হারমার
2

আপনি যদি সত্যই আইসিএমপি ট্র্যাফিকের বিষয়ে চিন্তা না করেন (যা আপনি কোনও নিয়ম দিয়ে বিশ্বব্যাপী অবরুদ্ধ করতে পারেন), আপনি কেবল -p পতাকা বাদ দিতে পারেন এবং এটি সমস্ত প্রোটোকল কভার করবে।

নাথান সি
সূত্র
আইসিএমপি ট্র্যাফিক সম্পর্কে আমার যত্ন নেওয়া উচিত? আমি বেশিরভাগ HTTP অ্যাক্সেস নিয়ে উদ্বিগ্ন।
বড় ম্যাকলার্জহিউজ
আসলে তা না. আপনি চাইলে আপনি আইসিএমপি (পিং) ব্লক করতে পারেন তবে যেহেতু এটি এইচটিটিপি ট্র্যাফিককেই পরিবেশন করছে তবে এর চেয়ে বেশি পয়েন্ট নেই।
নাথান সি
@ নাথানসি, আমি মনে করি যে ওপি যখন তার বিধিগুলি অর্ধেক করবেন কীভাবে এখন বা ভবিষ্যতে সমস্যার কারণ হতে পারে তখন সমস্ত বন্দরগুলি খোলার পরামর্শটি I
জেড ড্যানিয়েলস
@ জেডডানিয়েলস-পি সুইচ প্রোটোকলগুলি উল্লেখ করে, বন্দরগুলি নয়। নীচে উত্তরের একটি বিকল্প রয়েছে যদি তারা টিসিপি ও ইউডিপি ব্যতীত অন্য কোনও কিছু লক করতে আগ্রহী।
নাথান সি
@ নাথানসি হ্যাঁ, এবং -পি অপসারণের অর্থ "কেবলমাত্র টিসিপি বা ইউডিপি নয়, সমস্ত প্রোটোকল খুলুন", এটি বিপজ্জনক না হলে বেপরোয়া।
জেড ড্যানিয়েলস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.