RTFM.WIKI

Ordnung muß sein. Ordnung über alles (18+)

Инструменты пользователя

Инструменты сайта


linux:iptables:iptables_forward

Linux Softrouter c BGP правильный транзитный iptables

Источник - http://aoz.com.ua/2012/01/27/linux-softrouter-iptables/

Что значит, с моей точки зрения правильный ACL на транзитном роутере

  1. Не впускать в сеть пакеты с некорректными source ip
  2. Не выпускать из сети мусор, в виде пакетов обманувших NAT, Multicast и блокировка доморощенных хакеров.

Идеология не нова. Взята из cisco network security tips. К сожалению оригинальной статьи не нашел.

К сожалению далеко не все сисадмины придерживаются моего мнения.

Приведена только транзитная часть (цепочка forward)

555.555.555.555/24 это так я обозвал адреса своей сети

-A FORWARD -i eth1.335 -j Enemy
-A FORWARD -i eth1.101 -j Enemy
-A FORWARD -i eth1.102 -j Enemy

-A Enemy -s 0.0.0.0 -j DROP
-A Enemy -s 127.0.0.0/8 -j DROP
-A Enemy -s 10.0.0.0/8 -j DROP
-A Enemy -s 172.16.0.0/12 -j DROP
-A Enemy -s 192.168.0.0/16 -j DROP
-A Enemy -s 224.0.0.0/4 -j DROP
-A Enemy -s 255.255.255.255 -j DROP
-A Enemy -s 555.555.555.555/24 -j DROP
-A Enemy -j RETURN

-A FORWARD -o eth1.335 -j Garbage
-A FORWARD -o eth1.101 -j Garbage
-A FORWARD -o eth1.102 -j Garbage

-A Garbage -s 555.555.555.555/24 -j ACCEPT
-A Garbage -j DROP

Обсуждение

Ваш комментарий. Вики-синтаксис разрешён:
 
linux/iptables/iptables_forward.txt · Последнее изменение: 2013/08/16 19:14 — 127.0.0.1