Transcript สรุปประเด็นการทำ Firewall

สรุ ปประเด็นการทา Firewall
IPTABLES
กาหนดความปลอดภัย
• ใช้ Policy DROP
iptables –P INPUT DROP
iptables –P FORWARD DROP
Iptables –P OUTPUT DROP
กรณี Serverที่ไม่ใช่ GATEWAY
Chain INPUT เปิ ด เฉพาะ Service ที่ต้องการให้ บริการ เช่น
iptables –A INPUT –i <eth..> –s <source> –d <destination> -p <potocol> --dport <port> -j
ACCEPT
•
Interface ภายใน ( LOCALNET : 127.0.0.1) มักจะ ACCEPT ทุกกรณี เพื่อป้องกันการ Block ตัวเอง
Iptables –A INPUT –i lo –p all –j ACCEPT
•
<source> หาก เป็ น Interface ด้ านนอกที่ต่อภายนอก ซึ่งไม่ ทราบว่ าผู้ขอใช้ มาจากที่ใด อนุโลมว่ าไม่ ต้องกาหนด
<destination> หากเป็ น host ให้ ใช้ /32ต่ อท้ าย IP
กรณี Serverที่ไม่ใช่ GATEWAY
• Chain OUTPUT
มักจะเปิ ด ACCEPT ไว้ ตลอด
iptables –A OUTPUT –o <eth..> -p <potocol> -j ACCEPT
เช่น
iptables –A OUTPUT –o lo –p all -j ACCEPT
กรณี Serverที่เป็ น GATEWAY
• Chain FORWARD จะปล่อยให้ บริการทังหมดหรื
้
อเฉพาะที่ระบุก็
ได้
•
Iptables –A FORWARD -i <eth.> -s <source> -d <destination> -p <potocol> --dport
<port> -j ACCEPT
• iptables -A FORWARD -i eth0 –s 192.168.10.0/24 -p tcp --dport 80 -d
172.31.0.23 -j ACCEPT
NAT
• การทาให้ ลูกข่ายสามารถออกไปข้ างนอกได้ โดยการใช้
MASQUERADE จะเป็ นการ map ให้ เครื่ องที่ออกใช้ ip เครื่ อง
แม่ข่าย ซึง่ เราจะทาที่ CHAIN POSTROUTING
• Iptables –t nat –A POSTROUTING –o <wan interface> -j MASQUERADE
• echo 1 > /sys/net/ipv4/ip_forward
iptable –F
iptables –F –t nat