Tenho uma máquina Linux rodando que possui ip local: 192.168.1.2 conectada a um roteador com IP público 8.8.8.8, agora o roteador 8.8.8.8 possui DMZ para 192.168.1.2
Como resultado, spammers, hackers e crackers travam o 192.168.1.2 executando o protocolo H.323 ou protocolo SIP.
Como posso colocar uma lista branca de IP público no roteador ou atrás do roteador para evitar tal ataque? (A máquina Linux não é de código aberto, não tenho acesso para colocar iptables nela)
Responder1
No seu roteador, se você puder executar o iptables, deixe cair qualquer coisa recebida na interface externa e adicione exceções:
Um exemplo simples do que você descreve, presumindo que eth1 seja o dispositivo voltado para fora:
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j DROP
iptables -I FORWARD -i eth1 -s 123.123.123.123 -j ACCEPT
iptables -I FORWARD -i eth1 -s 123.124.0.0/16 -j ACCEPT
As linhas significam o seguinte:
- Permitir tráfego já comprovado, como respostas às suas próprias consultas
- Derrubar tudo
- Permitir IP
123.123.123.123 - Permitir toda a sub-rede
123.124.xxx.xxx
Observe a mudança para -Iem vez de -Anas linhas 3 e 4. Isso significa que a regra deve ser colocada em primeiro lugar na lista em vez de anexá-la.
Se você precisar executar isso na própria máquina Linux, o mesmo deve funcionar, mas você precisa substituir FORWARDpor INPUTe pode pular a interface de entrada. Além disso, você provavelmente deseja adicionar uma ACCEPTregra, 192.168.1.0/24pois sua LAN é provavelmente confiável.
Para mais informações, consulteeste tutorialouo manual