- Természetesen! Az alábbiakban egy alap iptables konfigurációs fájl található az általad megadott feltételek szerint. Az iptables szabályai csak a kívánt forgalmat engedik át, míg minden más forgalmat letiltanak.
*filter
# Alapértelmezett szabály: minden bejövő forgalmat eldobunk
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Engedélyezett forgalom kívülről
-A INPUT -p tcp --dport 22 -j ACCEPT # SSH
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT # HTTP/HTTPS
# Belsső hálózatból eredő forgalom engedélyezése (opcionális)
# -A INPUT -s belső_hálózat_cidr -j ACCEPT
# Loopback forgalom engedélyezése
-A INPUT -i lo -j ACCEPT
# Kapcsolatokhoz tartozó válaszcsomagok engedélyezése
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Hibás csomagok eldobása
-A INPUT -m conntrack --ctstate INVALID -j DROP
# Naplózás (opcionális)
# -A INPUT -j LOG --log-prefix "IPTABLES_INPUT: " --log-level 7
# Beállítások mentése
COMMIT
- Fontos megjegyezni, hogy ez csak egy alap konfigurációs fájl, és a konkrét igényeidhez és környezetedhez igazíthatod. Győződj meg róla, hogy az SSH-hoz a megfelelő portot használod, és ha van belső hálózat, akkor az ahhoz tartozó CIDR-t helyettesítsd a megfelelő hálózati tartománnyal. Továbbá, mindig győződj meg róla, hogy a konfiguráció megfelel az adott rendszered biztonsági előírásainak, és teszteld a változtatásokat előre a folyamatban lévő forgalomra hatással lehet.
- trey blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Belsső
Ezt vajon hogy csinalta? Tokenizalas miatt nem kellene ilyet elirnia.
A strange game. The only winning move is not to play. How about a nice game of chess?
- A hozzászóláshoz be kell jelentkezni
BPE-t hasznal, nagyreszt szotagokra es karakterekre tokenizal, a sok nyelv es a transformer arch miatt erosen limitalt vocab miatt az angol es nehany vilagnyelv gyakoribb szavain kivul szinte mindent betukbol vagy 2-3 betus "szotagokbol" legozik ossze. sot, a ritkabb non-ascii karakterek unicode-jat akar byteonkent rakja ossze, tehat tobb tokenbol lesz 1 betu...
- A hozzászóláshoz be kell jelentkezni
Mondjuk ahonnan ezt vette (copyright-ot ne firtassuk), ott éppen így volt.
- A hozzászóláshoz be kell jelentkezni
Az ESTABLISHED,RELATED sort az ACCEPT -ek elé kéne tenni az INVALID DROP-ot meg a legelejére.
Az ACCEPT sorokba meg kellene --ctstate NEW. Vagy nem... :), de akkor meg a nf_conntrack_tcp_loose=0 -nak kéne lennie.
Abba már bele sem megyek, hogy a RELATED további kondíciók nélküli használata sem éppen javasolt.
- A hozzászóláshoz be kell jelentkezni
Ezt a ChatGPT-t nők vagy vegánok írták. Eldöntendő kérdésre egy regényt ír válasznak.
- A hozzászóláshoz be kell jelentkezni
ChatGPT Plus GPT-4-el, itt az INVALID drop kimaradt, de a sorrend jobb lett:
# Az alapértelmezett politikák beállítása: minden bejövő forgalom tiltása
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Megengedni az állapotfüggő kapcsolatokat
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Megengedni a localhost forgalmát
iptables -A INPUT -i lo -j ACCEPT
# Megengedni a kívülről érkező SSH forgalmat (port 22)
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# Megengedni a kívülről érkező HTTP (port 80) és HTTPS (port 443) forgalmat
iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
- A hozzászóláshoz be kell jelentkezni
Aszongya, "politikák". Felteszem, nekik is kellett vlami egyedi ismertetőjel, de a "Belsső"-t nem használhatta, mert jogvédett, úgyhogy maradt a politika. :P <pol />
- A hozzászóláshoz be kell jelentkezni
Mondjuk, ha az internet nepetol tanult, akkor nem csoda, hogy keveri a politics es policy szavakat.
- A hozzászóláshoz be kell jelentkezni
Google bard:
Tudnál írni nekem egy alap iptables konfigurációs fájlt az alábbi feltételek szerint? Alapértelmezetten legyen tiltva befelé minden forgalom. Kívülről csak az SSH és HTTP/HTTPS legyen elérhető.
View other drafts
Persze. Íme egy alap iptables konfigurációs fájl, amely megfelel az Ön feltételeinek:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable
Ez a fájl alapértelmezetten letiltja minden bejövő forgalmat. Kiváló kivételt tesz az SSH (22-es port), a HTTP (80-as port) és a HTTPS (443-as port) számára. Minden más bejövő forgalmat elutasít.
A konfiguráció betöltéséhez használja az alábbi parancsot:
iptables-restore < /etc/iptables.conf
A konfiguráció frissítéséhez használja az alábbi parancsot:
iptables-restore < /etc/iptables.conf --force
Remélem, ez segít!
Sources
github.com/metno/weamyl-code
www.linode.com/community/questions/5617/iptables-and-firewall-startup-on-boot
- A hozzászóláshoz be kell jelentkezni