RTFM.WIKI

Ordnung muß sein. Ordnung über alles (18+)

Инструменты пользователя

Инструменты сайта


Боковая панель


Навигация

Линкшэринг

ALARM!

Добавить новую страницу

You are not allowed to add pages
linux:iptables:iptables_forward


Linux Softrouter c BGP правильный транзитный iptables

Источник - http://aoz.com.ua/2012/01/27/linux-softrouter-iptables/

Что значит, с моей точки зрения правильный ACL на транзитном роутере

  1. Не впускать в сеть пакеты с некорректными source ip
  2. Не выпускать из сети мусор, в виде пакетов обманувших NAT, Multicast и блокировка доморощенных хакеров.

Идеология не нова. Взята из cisco network security tips. К сожалению оригинальной статьи не нашел.

К сожалению далеко не все сисадмины придерживаются моего мнения.

Приведена только транзитная часть (цепочка forward)

555.555.555.555/24 это так я обозвал адреса своей сети

-A FORWARD -i eth1.335 -j Enemy
-A FORWARD -i eth1.101 -j Enemy
-A FORWARD -i eth1.102 -j Enemy

-A Enemy -s 0.0.0.0 -j DROP
-A Enemy -s 127.0.0.0/8 -j DROP
-A Enemy -s 10.0.0.0/8 -j DROP
-A Enemy -s 172.16.0.0/12 -j DROP
-A Enemy -s 192.168.0.0/16 -j DROP
-A Enemy -s 224.0.0.0/4 -j DROP
-A Enemy -s 255.255.255.255 -j DROP
-A Enemy -s 555.555.555.555/24 -j DROP
-A Enemy -j RETURN

-A FORWARD -o eth1.335 -j Garbage
-A FORWARD -o eth1.101 -j Garbage
-A FORWARD -o eth1.102 -j Garbage

-A Garbage -s 555.555.555.555/24 -j ACCEPT
-A Garbage -j DROP
This website uses cookies. By using the website, you agree with storing cookies on your computer. Also you acknowledge that you have read and understand our Privacy Policy. If you do not agree leave the website.More information about cookies

Discussion

Enter your comment. Wiki syntax is allowed:
 
linux/iptables/iptables_forward.txt · Последнее изменение: 2013/08/16 19:14 (внешнее изменение)