Как белый список некоторых ip и все остальные блокировать, имея уже DMZ?

У меня есть Linux машина работает, который имеет локальный ip: 192.168.1.2
подключен к маршрутизатору с публичным IP 8.8.8.8, теперь маршрутизатор 8.8.8 имеет DMZ до 192.168.1.2

в результате спамеры, хакеры, взломщики ломают 192.168.1.2 работающий протокол H. 323 или протокол SIP.

Как я могу поместить белый список публичных IP-адресов в маршрутизатор или за маршрутизатором, чтобы предотвратить такую атаку? (Linux-машины нет в открытом источнике я не имеют доступа к месту iptables в нем)

6
задан Jarmund
04.01.2023 23:38 Количество просмотров материала 3124
Распечатать страницу

1 ответ

на маршрутизаторе если вы можете запустить iptables, по умолчанию отбросьте все входящие на внешний интерфейс, а затем добавьте исключения:

простой пример того, что вы описываете, предполагая, что eth1 является внешним устройством:

iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j DROP
iptables -I FORWARD -i eth1 -s 123.123.123.123 -j ACCEPT
iptables -I FORWARD -i eth1 -s 123.124.0.0/16 -j ACCEPT

строки означают следующее:

  1. разрешить трафик уже поручился за, например, ответы на ваши собственные запросы
  2. бросить все
  3. разрешить IP 123.123.123.123
  4. разрешить вся подсеть 123.124.xxx.xxx

Примечание переключатель -I вместо -A на строках 3 и 4. Это означает, что правило должно быть помещено первым в списке, а не добавлено.

Если вам нужно запустить это на самой машине linux, то же самое должно работать, но вам нужно заменить FORWARD С INPUT, и вы можете пропустить интерфейс ввода. Кроме того, вы, вероятно, хотите добавить ACCEPT правила 192.168.1.0/24 как ваш LAN, скорее всего надежный.

дополнительная информация:в этом уроке или руководство

1
отвечен Jarmund 2023-01-06 07:26

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх