Trong hướng dẫn sau đây, chúng tôi sẽ bảo mật hơn nữa tường lửa chức năng hiện tại của chúng tôi. Vào thời điểm hoàn thành, chúng ta nên có một bộ quy tắc và chính sách đã được kiểm tra để ngăn chặn không chỉ các cuộc tấn công vào máy tính của chúng ta mà còn cả các cuộc tấn công từ máy tính của chúng ta vào internet. Bảo vệ những người khác khỏi khả năng bị tấn công bởi một trong những máy tính bị xâm nhập của chúng tôi là một khía cạnh thiết yếu và thường bị bỏ qua của bảo mật và phép lịch sự thông thường trên internet. Tôi thậm chí có thể nói đối với mạng SOHO, đây là khía cạnh quan trọng nhất. Thông thường, nhiễm vi-rút chỉ là một vấn đề nhỏ đối với một mạng nhỏ và hiếm khi dẫn đến mất dữ liệu. đối với chúng tôi, 100% người dùng * nix, nó thực tế thậm chí không tồn tại. Tuy nhiên, vì các mạng soho nhỏ thường kém an toàn hơn so với các mạng lớn hơn nên chúng là mục tiêu ưa thích của những kẻ bẻ khóa đang tìm kiếm bệ phóng cho các cuộc tấn công DoS hoặc các trò lừa bịp bất chính khác
Những thứ sau đây được cung cấp theo kiểu bữa ăn nhỏ theo trình tự cho phép thử nghiệm từng bước dễ dàng nhất. Mỗi bước có thể yêu cầu một thứ gì đó được chèn vào trước, sau hoặc ở giữa tập lệnh hiện có của chúng tôi. Điều này được thực hiện để [hy vọng] mạng của bạn sẽ chỉ ngừng hoạt động trong một khoảng thời gian ngắn trong quá trình thiết lập. Tôi đã làm theo cách này bởi vì tôi đã cho rằng nhiều người trong số các bạn [như tôi] có một máy chủ/tường lửa linux độc lập. Vì phương pháp ưa thích của tôi là ssh, nên mạng bị sập có thể là một PITA liên quan đến việc thu thập thông tin dưới các bảng, v.v. Nếu táo bạo, bạn chỉ cần sao chép tập lệnh ở cuối và chạy nó. Nó phải có đầy đủ chức năng, nhưng tôi mới chỉ thử nghiệm nó trên hệ thống của mình nên ymmv
- **nhật ký thay đổi**
1. Đã thêm các mô-đun ip_conntrack_ftp và ip_nat_ftp để loại bỏ lỗi PASV khi xuất hiện.
2. Đã loại bỏ bộ lọc trên chuỗi nat. Tôi đã gặp một số "kết quả không thể đoán trước" và điều này đã xóa nó. Nó hoàn toàn không ảnh hưởng đến bảo mật vì chuỗi bộ lọc vẫn được lọc.
- Công cụ cần thiết
3. Đã sửa lỗi đánh máy ở cuối tập lệnh. đã thay đổi 'iptables' thành $IPT
* ifconfig
* iptables
* grep
* sed
Thiết lập biến môi trường
Chúng tôi sẽ xác định giao diện mạng và các công cụ khác nhau được sử dụng trong tập lệnh
Mã số. #. /bin/bash# Giao diện bên ngoài
EXTIF='ppp0'
# Giao diện bên trong
INTIF1='eth0'