ローカル IP: 192.168.1.2 を持つ Linux マシンが稼働しており、パブリック IP 8.8.8.8 を持つルーターに接続されています。現在、ルーター 8.8.8.8 には 192.168.1.2 への DMZ があります。
その結果、スパマー、ハッカー、クラッカーが H.323 プロトコルまたは SIP プロトコルを実行している 192.168.1.2 をクラッシュさせます。
このような攻撃を防ぐために、ルーター内またはルーターの背後にパブリック IP のホワイト リストを配置するにはどうすればよいですか? (Linux マシンはオープン ソースではないため、iptables を配置する権限がありません)
答え1
ルーターで iptables を実行できる場合は、デフォルトで外向きのインターフェースに着信するすべてのものをドロップし、例外を追加します。
eth1 が外向きのデバイスであると仮定して、説明されている内容の簡単な例を示します。
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j DROP
iptables -I FORWARD -i eth1 -s 123.123.123.123 -j ACCEPT
iptables -I FORWARD -i eth1 -s 123.124.0.0/16 -j ACCEPT
各行の意味は次のとおりです。
- 自身のクエリへの応答など、すでに保証されているトラフィックを許可する
- すべてを捨てて
- IPを許可する
123.123.123.123 - サブネット全体を許可する
123.124.xxx.xxx
-I3 行目と 4 行目の ではなくへの切り替えに注意してください。-Aこれは、ルールをリストの最後ではなく最初に配置することを意味します。
これを Linux マシン自体で実行する必要がある場合、同じことが機能するはずですが、FORWARDを に置き換える必要があり、入力インターフェイスをスキップできます。また、LAN は信頼できる可能性が高いため、のルールINPUTを追加する必要がある可能性があります。ACCEPT192.168.1.0/24