আমি ইন্টারনেটের সাথে সরাসরি সংযুক্ত একটি ভার্চুয়াল মেশিনে একটি এস্টারস্কি PBX চালাচ্ছি এবং আমি সত্যিই স্ক্রিপ্ট kiddies, l33t h4x0rz এবং আমার সার্ভারে প্রকৃত হ্যাকার অ্যাক্সেস প্রতিরোধ করতে চাই। আমি আমার কলিং বিলটি সুরক্ষিত করার মূল পদ্ধতিটি এখন 32 ক্যারেক্টার পাসওয়ার্ডগুলি ব্যবহার করে, তবে আমি সুরক্ষার জন্য একটি উপায় রাখি
বর্তমানে যে ফায়ারওয়াল স্ক্রিপ্টটি আমি ব্যবহার করছি তা নীচে দেওয়া হয়েছে, তবে, প্রতিষ্ঠিত সংযোগ ফায়ারওয়াল নিয়ম (উল্লিখিত নিয়ম # 1) ছাড়া, আউটগোয়িং কলগুলির সময় আমি লক্ষ্য থেকে ইনকামিং অডিও পাইনি:
#!/bin/bash
# first, clean up!
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP # we're not a router
iptables -P OUTPUT ACCEPT
# don't allow invalid connections
iptables -A INPUT -m state --state INVALID -j DROP
# always allow connections that are already set up (MENTIONED RULE #1)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# always accept ICMP
iptables -A INPUT -p icmp -j ACCEPT
# always accept traffic on these ports
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# always allow DNS traffic
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
# allow return traffic to the PBX
iptables -A INPUT -p udp -m udp --dport 50000:65536 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
iptables -A INPUT -p udp --destination-port 5060:5061 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5060:5061 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 10000:20000
iptables -A INPUT -m multiport -p tcp --dports 10000:20000
# IP addresses of the office
iptables -A INPUT -s 95.XXX.XXX.XXX/32 -j ACCEPT
# accept everything from the trunk IP's
iptables -A INPUT -s 195.XXX.XXX.XXX/32 -j ACCEPT
iptables -A INPUT -s 195.XXX.XXX.XXX/32 -j ACCEPT
# accept everything on localhost
iptables -A INPUT -i lo -j ACCEPT
# accept all outgoing traffic
iptables -A OUTPUT -j ACCEPT
# DROP everything else
#iptables -A INPUT -j DROP
আমি জানতে চাই যে ফায়ারওয়ালের এই নিয়মটি কি কাজ করছে তার জন্য আমি অনুপস্থিত নই। এখানে অনেক ছোট ডকুমেন্টেশন রয়েছে যা পোর্ট (ইনকামিং এবং আউটগোয়িং) তারকাচিহ্নের আসলে প্রয়োজন। (রিটার্ন পোর্ট অন্তর্ভুক্ত)।
এখানে কোন ফায়ারওয়াল / iptables বিশেষজ্ঞ আছে যা এই ফায়ারওয়াল স্ক্রিপ্টের সাথে বড় সমস্যাগুলি দেখে?
এটি এমন হতাশাজনক যে কোনও সহজ ফায়ারওয়াল সমাধান খুঁজে পাওয়া যায় না যা আমাকে ইন্টারনেটে যে কোনও পবিএক্স চালনা করতে সক্ষম করে, যা এভাবে ফায়ারওয়াল করা যায় যাতে এটি কেবলমাত্র অফিস থেকে এবং অফিসে, DNS সার্ভার এবং ট্রাঙ্কের সংযোগগুলিকে অনুমতি দেয়। গুলি) (এবং শুধুমাত্র বাইরের বিশ্বের জন্য SSH (পোর্ট 22) এবং ICMP ট্র্যাফিক সমর্থন)।
আশা করি, এই প্রশ্নটি ব্যবহার করে, আমরা একবার এবং সবাইকে এই সমস্যার সমাধান করতে পারি।
-j
বিবৃতিতে নেই? কেন অফিসের "আইপি ঠিকানা" একটি একক আইপি ঠিকানা - অফিস মেশিন এবং Asterisk বাক্সের মধ্যে একটি NAT গেটওয়ে আছে? কেন আপনি গন্তব্য পোর্ট 53 জন্য একটি নির্দিষ্ট আউটপুট নিয়ম আছে, আপনি ইতিমধ্যে সব আউটপুট গ্রহণ? ACCEPT এ আপনার মূল ইনপুট নীতি কেন সেট করা আছে এবং তারপরে "অন্য সবকিছু ড্রপ করুন" কমান্ডের সাথে শেষ করুন - কেন DROP এ ইনপুট নীতি সেট করবেন না?