ওপেনডব্লিউআরটি ফায়ারওয়াল ইনপুট চেইন সব কিছুর অনুমতি দিচ্ছে?


1

এই টিউটোরিয়ালটিতে সংজ্ঞায়িত হিসাবে ওপেনভিপিএন-এর নিয়মাবলী যুক্ত করা ছাড়া আমি আমার ডিফল্ট ফায়ারওয়াল বিধিগুলিতে কিছুই করিনি http : // , তবে আমি উদ্বিগ্ন যে আউটপুট iptables -L এর কারণে আমি ইচ্ছার চেয়ে বেশি বন্দর খোলা রেখেছি। আমি সম্পূর্ণ আউটপুট নীচে রেখেছি, তবে বিশেষত:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
syn_flood  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
input_rule  all  --  anywhere             anywhere
input      all  --  anywhere             anywhere
from the:
ACCEPT     all  --  anywhere             anywhere

বিট এর মানে কি যে কোথাও থেকে সবকিছু গৃহীত হচ্ছে?

রেফারেন্সের জন্য সম্পূর্ণ আইপি টেবিল আউটপুট:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
syn_flood  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
input_rule  all  --  anywhere             anywhere
input      all  --  anywhere             anywhere
Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
forwarding_rule  all  --  anywhere             anywhere
forward    all  --  anywhere             anywhere
reject     all  --  anywhere             anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
output_rule  all  --  anywhere             anywhere
output     all  --  anywhere             anywhere
Chain forward (1 references)
target     prot opt source               destination
zone_lan_forward  all  --  anywhere             anywhere
zone_wan_forward  all  --  anywhere             anywhere
zone_vpn_forward  all  --  anywhere             anywhere
Chain forwarding_lan (1 references)
target     prot opt source               destination
Chain forwarding_rule (1 references)
target     prot opt source               destination
Chain forwarding_vpn (1 references)
target     prot opt source               destination
Chain forwarding_wan (1 references)
target     prot opt source               destination
Chain input (1 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
zone_lan   all  --  anywhere             anywhere
zone_wan   all  --  anywhere             anywhere
zone_vpn   all  --  anywhere             anywhere
Chain input_lan (1 references)
target     prot opt source               destination
Chain input_rule (1 references)
target     prot opt source               destination
Chain input_vpn (1 references)
target     prot opt source               destination
Chain input_wan (1 references)
target     prot opt source               destination
Chain output (1 references)
target     prot opt source               destination
zone_lan_ACCEPT  all  --  anywhere             anywhere
zone_wan_ACCEPT  all  --  anywhere             anywhere
zone_vpn_ACCEPT  all  --  anywhere             anywhere
Chain output_rule (1 references)
target     prot opt source               destination
Chain reject (7 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable
Chain syn_flood (1 references)
target     prot opt source               destination
RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 25/sec burst 50
DROP       all  --  anywhere             anywhere
Chain zone_lan (1 references)
target     prot opt source               destination
input_lan  all  --  anywhere             anywhere
zone_lan_ACCEPT  all  --  anywhere             anywhere
Chain zone_lan_ACCEPT (3 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
Chain zone_lan_DROP (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
Chain zone_lan_REJECT (1 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere
reject     all  --  anywhere             anywhere
Chain zone_lan_forward (1 references)
target     prot opt source               destination
zone_wan_ACCEPT  all  --  anywhere             anywhere
forwarding_lan  all  --  anywhere             anywhere
zone_lan_REJECT  all  --  anywhere             anywhere
Chain zone_vpn (1 references)
target     prot opt source               destination
input_vpn  all  --  anywhere             anywhere
zone_vpn_ACCEPT  all  --  anywhere             anywhere
Chain zone_vpn_ACCEPT (3 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
Chain zone_vpn_DROP (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
Chain zone_vpn_REJECT (0 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere
reject     all  --  anywhere             anywhere
Chain zone_vpn_forward (1 references)
target     prot opt source               destination
zone_wan_ACCEPT  all  --  anywhere             anywhere
zone_lan_ACCEPT  all  --  anywhere             anywhere
forwarding_vpn  all  --  anywhere             anywhere
zone_vpn_ACCEPT  all  --  anywhere             anywhere
Chain zone_wan (1 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere            udp dpt:bootpc
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:23232
input_wan  all  --  anywhere             anywhere
zone_wan_REJECT  all  --  anywhere             anywhere
Chain zone_wan_ACCEPT (3 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
Chain zone_wan_DROP (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
Chain zone_wan_REJECT (2 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere
reject     all  --  anywhere             anywhere
Chain zone_wan_forward (1 references)
target     prot opt source               destination
forwarding_wan  all  --  anywhere             anywhere
zone_wan_REJECT  all  --  anywhere             anywhere

Iptables- র -nL --line-সংখ্যার জন্য আউটপুট পোষ্ট করতে চেষ্টা করুন
Kasun

উত্তর:


1

আমি দুঃখিত, কিন্তু সমস্যাটি এখানে কোথায় রয়েছে তা দেখতে আমি ব্যর্থ। হ্যাঁ, আপনার কাছে ফায়ারওয়াল রয়েছে যা কোনও প্যাকেটকে ইনপুট এবং ফরোয়ার্ড উভয় মাধ্যমেই যেতে দেয় । এটি নতুন ইনস্টলড ওপেনডব্লিউআরটি ফায়ারওয়ালের জন্য মানক কনফিগারেশন, আমার একই কনফিগারেশন ছিল।

মূলত, iptables নিয়মগুলি ধারাবাহিকভাবে পড়তে হয়: প্রথম থেকে শেষ অবধি পড়া, প্রথম নিয়মটি ফিট হয় এবং বাকী নিয়মগুলিও পরীক্ষা করা হয় না। যদি সমস্ত নিয়ম পরীক্ষা করা হয় এবং কোনওটিই ফিট না করে তবে ডিফল্ট নীতি প্রয়োগ করা হয় (উদাহরণস্বরূপ, আপনার INPUT শৃঙ্খলার ক্ষেত্রে, ডিফল্ট নীতিটি ACCEPT)।

আপনার INPUT চেইনের উদাহরণ হিসাবে নেওয়া, আগত প্যাকেটটি কোনও বিদ্যমান সংযোগের সাথে সম্পর্কিত কিনা তা নির্ধারণ করার জন্য পরীক্ষা করা হয়; যদি এটি হয়, নিয়মটি প্রয়োগ করা হয়, এইভাবে প্যাকেটটি স্বীকৃত হয়। যদি এটি না হয় (সুতরাং প্যাকেটটি এখনও একটি অপ্রকাশিত সংযোগের অন্তর্ভুক্ত), আমরা দ্বিতীয় নিয়মে চলে যাই। দ্বিতীয় নিয়মটি পূরণের কোনও মানদণ্ড নেই, সুতরাং সমস্ত প্যাকেটগুলি এটি ফিট করে; সুতরাং এটি প্রয়োগ করা হয় এবং এর প্রয়োগের অর্থ: এসিসিইপিটি।

বাকি নিয়মগুলি কখনই প্রশ্নে আসে না। এ কারণেই স্থায়ীভাবে সংরক্ষণের পূর্বে আপনার আইপটবেবল নিয়মগুলি সাবধানতার সাথে পরীক্ষা করা উচিত: আপনি যে আদেশে নিয়ম সরবরাহ করেছিলেন সেটির ক্রমটি সেগুলি প্রয়োগ করা হয় তার থেকে আলাদা হতে পারে এবং ফলস্বরূপ অপ্রীতিকর পরিণতি ঘটাতে পারে।

এই সামগ্রিক নীতি (প্রথম মাপসই প্রয়োগ করা হয়, নিম্নলিখিত নিয়মগুলি অবহেলা করা হয়) উদাহরণস্বরূপ নীতিটি যার সাথে কার্নেলটি রাউটিং বিধি প্রয়োগ করে: তার থেকে পৃথক: সেক্ষেত্রে, সর্বাধিক সীমাবদ্ধ নিয়মটি প্রয়োগ করা হয়, নির্বিশেষে আদেশটি নির্বিশেষে রাউটিং বিধি সঞ্চয় করা হয়।


ধন্যবাদ, সুতরাং এর অর্থ কি ডিফল্টরূপে ওপেনর্ট ফায়ারওয়ালগুলি প্রশস্ত? আমি মনে করি এটি একটি বড় বিষয়।
রেইঙ্কিনজ

@ ইরাকিংজ হ্যাঁ, এর অর্থ এই নয় যে আপনি প্রথমবার ওপেনডব্লিউআরটি ইনস্টল করার সময় এগুলি প্রশস্ত থাকে। আমি একমত নই যে এটি একটি প্রধান সমস্যা: এটি ব্যাপকভাবে উন্মুক্ত ছিল তা আবিষ্কার করা আমাকে বাধ্য করেছিল, উদাহরণস্বরূপ, আমি এটি প্রথম কাজ হিসাবে খুব ভালভাবে লক করতে বাধ্য করেছি। আমি মনে করি যে কোনও ধরণের অর্ধেক বন্ধ ফায়ারওয়াল উপস্থাপন করা নিরাপত্তার একটি মিথ্যা ধারণা তৈরি করবে।
মারিয়াসমাতুটিয়

আবার ধন্যবাদ. আমি কিছুটা অবাক হয়েছি যে এটি পুরোপুরি উন্মুক্ত, আপনি যদি মনে করেন না যে 'ডিফল্ট' নিয়মের একটি ভাল সেট রয়েছে যা সমস্ত আগত ট্র্যাফিককে অবরুদ্ধ করে, যদি না এটি প্রতিষ্ঠিত না হয় তবে?
রেইঙ্কিনজ

@ ইরাকিনজ জটিল এবং দীর্ঘ প্রশ্ন। মূলত, যদি আপনার কোনও পরিষেবা না থাকে, (HTTP, ssh, openvpn ...), আপনি আগত সমস্ত কিছু ব্লক করতে পারেন, ESTABLISHED, রিলেটেডের জন্য ছাড়; এগিয়ে জন্য একই জিনিস; সমস্ত OUTPUT অনুমতি দিন। আপনি যদি আরও কিছু
বক্তব্য রাখতে

ধন্যবাদ, আমি এর মাধ্যমে পড়ব। একটি সমস্যা হ'ল আমি নিশ্চিত নই যে আমার ফায়ারওয়াল বা ইউসিআই কনফিগার করার জন্য আমার iptables কমান্ডগুলি ব্যবহার করা উচিত যা / ইত্যাদি / কনফিগারেশন / ফায়ারওয়ালের একটি কনফিগারেশন তৈরি করে, যা আমি মনে করি ফায়ারওয়াল কনফিগার করার জন্য iptables কলগুলি তৈরি করতে ব্যবহৃত হয়েছিল। ইউসি দিয়ে ফায়ারওয়ালটি কনফিগার করার বিষয়ে যদি কোনও টিউটোরিয়াল থাকে, তবে এটি দুর্দান্ত হবে say
রেইঙ্কিনজ 3'14
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.