Ich habe eine Linux-Maschine mit der lokalen IP-Adresse 192.168.1.2, die mit einem Router mit der öffentlichen IP-Adresse 8.8.8.8 verbunden ist. Jetzt hat der Router 8.8.8.8 eine DMZ für 192.168.1.2.
Dies führt dazu, dass Spammer, Hacker und Cracker die Adresse 192.168.1.2, auf der das H.323-Protokoll oder das SIP-Protokoll läuft, zum Absturz bringen.
Wie kann ich eine Whitelist mit öffentlichen IP-Adressen in den Router oder hinter den Router einfügen, um solche Angriffe zu verhindern? (Der Linux-Rechner ist nicht Open Source, ich habe keinen Zugriff, um iptables darauf zu platzieren.)
Antwort1
Wenn Sie auf Ihrem Router iptables ausführen können, löschen Sie standardmäßig alle eingehenden Nachrichten auf der nach außen gerichteten Schnittstelle und fügen Sie dann Ausnahmen hinzu:
Ein einfaches Beispiel für das, was Sie beschreiben, vorausgesetzt, eth1 ist das nach außen gerichtete Gerät:
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j DROP
iptables -I FORWARD -i eth1 -s 123.123.123.123 -j ACCEPT
iptables -I FORWARD -i eth1 -s 123.124.0.0/16 -j ACCEPT
Die Zeilen bedeuten folgendes:
- Erlauben Sie bereits garantierten Datenverkehr, z. B. Antworten auf Ihre eigenen Anfragen.
- Lass alles fallen
- IP zulassen
123.123.123.123 - Erlauben Sie das gesamte Subnetz
123.124.xxx.xxx
Beachten Sie den Wechsel zu -Istatt -Ain den Zeilen 3 und 4. Dies bedeutet, dass die Regel an den Anfang der Liste gestellt werden soll, statt sie anzuhängen.
Wenn Sie dies auf dem Linux-Rechner selbst ausführen müssen, sollte dasselbe funktionieren, aber Sie müssen FORWARDdurch ersetzen INPUTund können die Eingabeschnittstelle überspringen. Darüber hinaus möchten Sie wahrscheinlich eine ACCEPTRegel für hinzufügen 192.168.1.0/24, da Ihr LAN höchstwahrscheinlich vertrauenswürdig ist.
Weitere Informationen finden Sie unterdieses Tutorialoderdas Handbuch