Tengo una máquina Linux ejecutándose que tiene una IP local: 192.168.1.2 conectada a un enrutador con IP pública 8.8.8.8, ahora el enrutador 8.8.8.8 tiene DMZ en 192.168.1.2
Como resultado, los spammers, hackers y crackers bloquean el protocolo 192.168.1.2 que ejecuta el protocolo H.323 o el protocolo SIP.
¿Cómo puedo poner una lista blanca de IP públicas en el enrutador o detrás del enrutador para evitar dicho ataque? (La máquina Linux no es de código abierto y no tengo acceso para colocar iptables en ella)
Respuesta1
En su enrutador, si puede ejecutar iptables, de forma predeterminada, elimine todo lo entrante en la interfaz exterior y luego agregue excepciones:
Un ejemplo simple de lo que usted describe, suponiendo que eth1 es el dispositivo orientado hacia afuera:
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j DROP
iptables -I FORWARD -i eth1 -s 123.123.123.123 -j ACCEPT
iptables -I FORWARD -i eth1 -s 123.124.0.0/16 -j ACCEPT
Las líneas significan lo siguiente:
- Permitir el tráfico ya avalado, como las respuestas a sus propias consultas.
- Deje todo
- Permitir IP
123.123.123.123 - Permitir toda la subred
123.124.xxx.xxx
Tenga en cuenta el cambio a -Ien lugar de -Aen las líneas 3 y 4. Esto significa que la regla debe colocarse primero en la lista en lugar de agregarla.
Si necesita ejecutar esto en la máquina Linux, lo mismo debería funcionar, pero debe sustituirlo FORWARDpor INPUTy puede omitir la interfaz de entrada. Además, probablemente desee agregar una ACCEPTregla 192.168.1.0/24ya que su LAN probablemente sea confiable.
Para obtener más información, consulteeste tutorialoel manual