Zdefiniuj regułę IPTABLES


1

Pracuję z urządzeniem UTM opartym na Linuksie i nie zgadzam się z klientem co do operacji. Jest to standardowy GUI do konfigurowania portu do przodu w zaporze, ale z jakiegoś powodu uważa, że ​​wymagane są następujące zasady.

-s 10.91.186.0/23 -d 10.10.10.0/23 -j ACCEPT
-s 10.11.10.0/23 -d 10.10.10.0/23 -j ACCEPT
-s 192.168.10.0/23 -d 10.10.10.0/23 -j ACCEPT

bardzo brudna topologia sieci i tak, wiem, że jest okropna

---------------------------------------------------------------------
Hosted cloud VM's
123.231.254.125 [public IP example]
192.168.10.10 [Microsoft TMG]/23
192.168.10.2  [cloud gateway]/23
10.91.186.161 [cloud edge?]/30
----------------------------------------------------------------------
10.91.186.162 [site cisco 2921 external]/30
10.91.186.1   [site cisco 2921 internal]/30
----------------------------------------------------------------------
10.91.186.2   [UTM gateway]/30 (seconary IP 10.11.10.1/23)
10.10.10.82   [UTM gateway internal]/23 (secondary IP 10.11.10.10/23)

jest to najgorsza splątana konfiguracja, ale z tym muszę pracować. Mam nadzieję, że daje to więcej perspektyw. Muszę tylko zdefiniować, co robi powyższa reguła IPTABLES.

Sądzę, że otwiera cały ruch przychodzący, ale podsieci są błędne, jak widać z notacji CIDR na końcu topologii sieci. Inną rzeczą jest ustawienie miejsca docelowego, ruch pochodzi z publicznego adresu IP lub TMG, a nie z CISCo?

Moje umiejętności sieciowe nie są tak dobre, jak chciałbym, ale uczę się i ktoś mógłby mi powiedzieć, na co pozwalają te wpisy, a jeśli tak, to będą tak doceniane.

TUTAJ jest schemat, który pomoże - da lepszy pomysł na sieć. Internetowy diagram


Pierwsze 3 zawierają nie routowalny adres IP, który nie działa w Internecie, tylko wewnętrznie. pl.wikipedia.org/wiki/ Sieć prywatna
cybernard

-s jest źródłem, a -d jest miejscem docelowym
cybernard

Więc cały ruch między podsieciami jest AKCEPTOWANY. Wszelkie zasady upuszczania dla te adresy / podsieci które pojawią się po tych liniach, nigdy nic nie zrobią. Inny adres IP może być nadal normalnie blokowany.
cybernard

Reguły są wrażliwe na położenie, więc te reguły poza kontekstem mogą funkcjonować zgodnie z oczekiwaniami. Coś w wierszu 1 może zablokować ruch, a te reguły nie mogą nic zrobić. Akceptacja ruchu wewnętrznego nie jest złą rzeczą, o ile nie jest prawdopodobne, że zdobędą wirusy itp. Eksperci ds. Bezpieczeństwa zalecają tylko zezwolenie na port niezbędny do działania komputerów i zablokowanie reszty. Publiczny adres IP to taki, który powinien być najbardziej zablokowany. Umieść reguły, aby pozwolić kilku potrzebnym portom i upuścić resztę ruchu przychodzącego.
cybernard

dodałem link do diagramu, aby był nieco jaśniejszy. Z siecią taką, jaką jest, trudno to zrobić. Moje pytanie brzmi, czy z tym układem sieci te zasady w ogóle coś robią? -s lub source będzie serwerem TMG 192.168.10.10, ponieważ musi się przesyłać do przodu od zewnętrznego, ale duet do niego jest przeznaczony do generycznego i nie przesyła niczego, po prostu przez to przepuszcza
Robert Wilde
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.