У меня работает Linux машина с локальным ip: 192.168.1.2, подключенным к маршрутизатору с публичным IP 8.8.8.8, теперь маршрутизатор 8.8.8.8 имеет DMZ до 192.168.1.2

В результате спаммеры, хакеры, взломщики аварийно завершают работу 192.168.1.2 с использованием протокола H.323 или протокола SIP.

Как я могу поместить белый список общедоступных IP-адресов в маршрутизаторе или за маршрутизатором, чтобы предотвратить такую атаку? (Linux машина не с открытым исходным кодом, у меня нет доступа, чтобы разместить на ней iptables)

1 ответ1

1

На вашем маршрутизаторе, если вы можете запустить iptables, по умолчанию отбросьте все входящие сообщения на внешний интерфейс, а затем добавьте исключения:

Простой пример того, что вы описываете, предполагает, что eth1 - это внешнее устройство:

iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j DROP
iptables -I FORWARD -i eth1 -s 123.123.123.123 -j ACCEPT
iptables -I FORWARD -i eth1 -s 123.124.0.0/16 -j ACCEPT

Строки означают следующее:

  1. Разрешить уже подтвержденный трафик, например ответы на ваши собственные запросы
  2. Брось все
  3. Разрешить IP 123.123.123.123
  4. Разрешить всю подсеть 123.124.xxx.xxx

Обратите внимание на переключатель -I вместо -A в строках 3 и 4. Это означает, что правило должно быть помещено первым в списке, а не добавляться к нему.

Если вам нужно запустить это на самой машине с Linux, то же самое должно работать, но вам нужно заменить FORWARD на INPUT , и вы можете пропустить интерфейс ввода. Кроме того, вы, вероятно, захотите добавить правило ACCEPT для 192.168.1.0/24 поскольку ваша локальная сеть, скорее всего, заслуживает доверия.

Для получения дополнительной информации см. Этот учебник или руководство

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .