VPN'nize gelen icmp trafiğini reddedin. Gelişmiş için Cisco ACL. Genişletilmiş erişim listeleri. Giden IP adresine giden istekleri engelle

Öyleyse ACL'lerle uğraşmaya devam edelim. Bu sefer ACL'leri genişlettik. Topolojiyi bir önceki makaleden alacağız, umarım iyice incelemişsinizdir. Durum böyle değilse, bu makaledeki materyallerin daha anlaşılır olması için okumanızı şiddetle tavsiye ederim.

Öncelikle genişletilmiş ACL'lerin ne olduğuyla başlayacağım. Genişletilmiş ACL'ler kaynak adresine ek olarak protokolü, hedef adresi ve bağlantı noktalarını belirtmenize olanak tanır. Belirli bir protokolün özel parametrelerinin yanı sıra. Örneklerden öğrenmek en iyisidir, bu yüzden bir öncekini karmaşıklaştırarak yeni bir görev oluşturalım. Bu arada, bundan sonra trafik dağıtımı konularını öncelikli olarak ele almak isteyenler olabilir; QoS Sınıflandırma ve İşaretleme konusunda İngilizce de olsa iyi bir makale öneririm. Neyse şimdilik görevimize dönelim:

Görev.

1. 192.168.0.0/24 ağındaki ana bilgisayarlardan sunucuya yankı isteklerine izin verin.
2. Sunucudan – dahili ağa yapılan yankı isteklerini yasaklayın.
3. 192.168.0.11 düğümünden sunucuya WEB erişimine izin verin.
4. 192.168.0.13 ana bilgisayarından sunucuya FTP erişimine izin verin.

Karmaşık görev. Bunu da kapsamlı bir şekilde çözeceğiz. Öncelikle genişletilmiş ACL kullanımına ilişkin sözdizimine bakacağım.

Genişletilmiş ACL seçenekleri

<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>

Bağlantı noktası numaraları elbette yalnızca TCP / UDP protokolleri için belirtilir. Ayrıca önekler de olabilir eşitlik(bağlantı noktası numarası belirtilene eşit), GT/LT(bağlantı noktası numarası belirtilenden büyük/küçük), yeni(port numarası belirtilen numaraya eşit değil), menzil(bağlantı noktası aralığı).

Adlandırılmış ACL'ler

Bu arada, erişim listeleri yalnızca numaralandırılamaz, aynı zamanda adlandırılabilir! Belki bu yöntem size daha uygun görünecektir. Bu sefer tam olarak bunu yapacağız. Bu komutlar genel yapılandırma bağlamında yürütülür ve sözdizimi şöyledir:

Yönlendirici(yapılandırma)#ip erişim listesi genişletildi<имя>

O halde kuralları oluşturmaya başlayalım.

1. Ağdan ping'lere izin verilmesi 192.168.0.0/24 sunucuya. Bu yüzden, Eko-istekler bir protokoldür ICMP, gelen arayüzde kaynak adresi olarak alt ağımızı, hedef adresi olarak sunucu adresini, mesaj tipini seçeceğiz. Eko, çıkışta - yankı yanıtı. Yönlendirici(config)#ip erişim listesi genişletilmiş INT_IN Yönlendirici(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 ana bilgisayar 10.0.0.100 echo Hata, alt ağ maskesinde sorun ne? Evet bu bir hile ACL. Lafta WildCard-maske. Normal maskenin tersi olarak hesaplanır. Onlar. 255.255.255.255 - Alt ağ maskesi. Bizim durumumuzda alt ağ 255.255.255.0 çıkardıktan sonra geriye kalan sadece 0.0.0.255 .Sanırım bu kuralın açıklamaya ihtiyacı yok? Protokol icmp, kaynak adresi – alt ağ 192.168.0.0/24 , varış noktası - ana bilgisayar 10.0.0.100, mesaj tipi - Eko(rica etmek). Bu arada, bunu fark etmek kolaydır ana bilgisayar 10.0.0.100 eş değer 10.0.0.100 0.0.0.0 .Bu kuralı arayüze uyguluyoruz. Yönlendirici(yapılandırma)#int fa0/0
   Yönlendirici(config-if)#ip erişim grubu INT_IN Peki, bunun gibi bir şey. Şimdi pingleri kontrol ederseniz her şeyin yolunda gittiğini görmek kolaydır. Ancak burada biraz sonra ortaya çıkacak bir sürpriz bizi bekliyor. Henüz açıklamayacağım. Kim tahmin etti - aferin!
2. Sunucudan – dahili ağa (192.168.0.0/24) yapılan tüm yankı isteklerini yasaklıyoruz. INT_OUT adında yeni bir adlandırılmış liste tanımlıyoruz ve onu sunucuya en yakın arayüze ekliyoruz.
   Yönlendirici(config)#ip erişim listesi genişletilmiş INT_OUT
   Yönlendirici(config-ext-nacl)#deny icmp ana bilgisayarı 10.0.0.100 192.168.0.0 0.0.0.255 echo
   Yönlendirici(config-ext-nacl)#exit
   Yönlendirici(yapılandırma)#int fa0/1
   Yönlendirici(config-if)#ip erişim grubu INT_OUT
   Ne yaptığımızı anlatayım. INT_OUT adında genişletilmiş bir erişim listesi oluşturuldu ve içindeki protokol devre dışı bırakıldı icmp tip ile Eko ev sahibinden 10.0.0.100 alt ağ başına 192.168.0.0/24 ve arayüz girişine uygulandı fa0/1 yani sunucuya en yakın. göndermeye çalışıyoruz ping sunucudan.
   SUNUCU>ping 192.168.0.11
   192.168.0.11'e 32 bayt veriyle ping işlemi yapmak:
   
   10.0.0.1'den yanıt: Hedef ana bilgisayara ulaşılamıyor.
   10.0.0.1'den yanıt: Hedef ana bilgisayara ulaşılamıyor.
   10.0.0.1'den yanıt: Hedef ana bilgisayara ulaşılamıyor.
   192.168.0.11 için ping istatistikleri:
   Paketler: Gönderilen = 4, Alınan = 0, Kayıp = 4 (%100 kayıp)
   Eh, olması gerektiği gibi çalışıyor gibiydi. Ping'lerin nasıl gönderileceğini bilmeyenler için, bizi ilgilendiren düğüme, örneğin bir sunucuya tıklayın. Masaüstü sekmesine gidin, orada Komut İstemi ve şimdi vaat edilen şaka. İlk noktada olduğu gibi ana bilgisayardan ping göndermeyi deneyin. PC>ping 10.0.0.100
   10.0.0.100'e 32 bayt veriyle ping işlemi yapmak:
   İstek zaman aşımına uğradı.
   İstek zaman aşımına uğradı.
   İstek zaman aşımına uğradı.
   İstek zaman aşımına uğradı.

   İşte senin için bir tane. Her şey işe yaradı! Neden durdu? Bu vaat edilen sürpriz. Sorunun ne olduğunu açıklıyorum. Evet, ilk kural ortadan kalkmadı. Sunucu düğümüne bir yankı isteği gönderilmesine izin verir. Peki yankı yanıtlarını iletme izni nerede? O gitti! Bir istek gönderiyoruz ancak yanıtı kabul edemiyoruz! Neden her şey daha önce işe yaradı? O zamanlar arayüzde ACL yoktu. fa0/1. Ve ACL olmadığı için her şeye izin verilir. icmp yanıtlarının alınmasına izin vermek için bir kural oluşturmanız gerekecektir.

   INT_OUT listesine ekle

   Aynısını INT_IN listesine ekleyelim.

   Yönlendirici(config-ext-nacl)#icmp ana bilgisayarına izin ver 10.0.0.100 192.168.0.0 0.0.0.255 yankı yanıtı

   Şimdi şikayet etme. Her şey harika gidiyor!

3. *.11 düğümünden sunucuya WEB erişimine izin veriyoruz.Biz de aynısını yapıyoruz! Ancak burada çağrıların katman 4 protokolleri (TCP, UDP) aracılığıyla nasıl gerçekleştiği hakkında biraz bilgi sahibi olmanız gerekir. İstemci bağlantı noktası keyfi olarak> 1024 olarak seçilir ve sunucu bağlantı noktası, hizmete karşılık gelen şekilde seçilir. WEB için bu port 80'dir (http protokolü).Peki ya WEB sunucusu? Varsayılan olarak WEB hizmeti sunucuda zaten yüklüdür, bunu düğüm ayarlarında görebilirsiniz. Bir onay işareti olduğundan emin olun. Ve herhangi bir düğümün “Masaüstü”ndeki “Web Tarayıcısı” kısayolunu seçerek sunucuya bağlanabilirsiniz. Tabii ki artık erişim mümkün olmayacak. Çünkü yönlendirici arayüzlerinde ACL'lerimiz var ve bunların erişim için herhangi bir izin kuralı yok. Peki, bir INT_IN erişim listesi oluşturalım (bu, arayüzde bulunur) fa0/0) kuralı ekleyin: Router(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq 80 Yani, TCP protokolüne hostumuzdan (keyfi port, > 1024) sunucu adresine izin veriyoruz. , HTTP bağlantı noktası.

   Ve tabii ki bunun tersi kural da INT_OUT listesinde (arayüzdeki) fa0/1):

   Yönlendirici(config-ext-nacl)#permit tcp ana bilgisayarı 10.0.0.100 eq 80 ana bilgisayarı 192.168.0.11 kuruldu

   Yani izin veriyoruz TCP limandan 80 ana bilgisayar başına sunucular *.11 ve bağlantının zaten kurulmuş olması gerekir! Belki onun yerine kurulmuş aynısını belirtmek GT1024, aynı şekilde işe yarayacaktır. Ama anlamı biraz farklı.

   Yorumlara cevap verin, ne daha güvenli olurdu?

4. *.13 düğümünden sunucuya FTP erişimine izin veriyoruz.Ayrıca kesinlikle karmaşık bir şey değil!FTP protokolü aracılığıyla etkileşimin nasıl gerçekleştiğine bakalım. Gelecekte, bir dizi makaleyi farklı protokollerin çalışmalarına ayırmayı planlıyorum, çünkü bu, kesin (keskin nişancı) ACL kuralları oluşturmada çok faydalıdır. Neyse şimdilik: Sunucu ve istemci eylemleri:+ İstemci bağlantı kurmaya çalışır ve X bağlantı noktasından (X > 1024, boş bağlantı noktası) sunucunun 21 numaralı bağlantı noktasına bir paket (pasif modda çalışacağına dair bir gösterge içeren) gönderir. + Sunucu bir yanıt gönderir ve bağlantı noktası numarasını, TCP paket başlığından çıkarılan istemci bağlantı noktası X'e bir kanal verisi Y (Y > 1024) oluşturmak için bildirir.+ İstemci, bağlantı noktası X+1'deki verileri sunucu bağlantı noktası Y'ye (başlıktan alınır) aktarmak için bir iletişim başlatır. önceki işlem). Bunun gibi bir şey. Biraz karmaşık gelebilir ama sadece çözmeniz gerekiyor! Kuralları INT_IN listesine ekleyin:

   tcp ana bilgisayarına izin ver 192.168.0.13 gt 1024 ana bilgisayar 10.0.0.100 eq 21
   tcp ana bilgisayarına izin ver 192.168.0.13 gt 1024 ana bilgisayar 10.0.0.100 gt 1024

   Ve INT_OUT listesine kurallar ekleyin:

   tcp ana bilgisayarına izin ver 10.0.0.100 eq ftp ana bilgisayarı 192.168.0.13 gt 1024
   tcp ana bilgisayarına izin ver 10.0.0.100 gt 1024 ana bilgisayar 192.168.0.13 gt 1024

   Komut satırından şu komutla kontrol ediyoruz ftp10.0.0.100 kimlik bilgilerimizi kullanarak giriş yaptığımız yer cisco: cisco(sunucu ayarlarından alınmıştır), komutu oraya girin yön komutların yanı sıra verilerin de başarıyla iletildiğini göreceğiz.

Genişletilmiş erişim listeleriyle ilgili olanların hepsi bu kadar.

O halde kurallarımıza bakalım:

Yönlendirici#sh erişimi
Genişletilmiş IP erişim listesi INT_IN
icmp'ye izin ver 192.168.0.0 0.0.0.255 ana bilgisayar 10.0.0.100 echo (17 eşleşme(ler))
icmp ana bilgisayarına izin ver 10.0.0.100 192.168.0.0 0.0.0.255 yankı yanıtı
tcp ana bilgisayarına izin ver 192.168.0.11 gt 1024 ana bilgisayar 10.0.0.100 eq www (36 eşleşme)
tcp ana bilgisayarına izin ver 192.168.0.13 gt 1024 ana bilgisayar 10.0.0.100 eq ftp (40 eşleşme)
tcp ana bilgisayarına izin ver 192.168.0.13 gt 1024 ana bilgisayar 10.0.0.100 gt 1024 (4 eşleşme))
Genişletilmiş IP erişim listesi INT_OUT
icmp ana bilgisayarını reddet 10.0.0.100 192.168.0.0 0.0.0.255 echo (4 eşleşme))
icmp ana bilgisayarına izin ver 10.0.0.100 192.168.0.0 0.0.0.255 yankı yanıtı (4 eşleşme)
izin ver tcp ana bilgisayarı 10.0.0.100 eq www ana bilgisayarı 192.168.0.11 kuruldu (3 eşleşme))
tcp ana bilgisayarına izin ver 10.0.0.100 eq ftp ana bilgisayarı 192.168.0.13 gt 1024 (16 eşleşme)
tcp ana bilgisayarına izin ver 10.0.0.100 gt 1024 ana bilgisayar 192.168.0.13 gt 1024 (3 eşleşme))

Linux sistemindeki güvenlik duvarı iptables programı (ipv4 için) ve ip6tables (ipv6 için) tarafından kontrol edilir. Bu hile sayfası, sistemlerini bilgisayar korsanlarından korumak isteyenler veya sadece kurulumu anlamak isteyenler için iptables'ı kullanmanın en yaygın yollarını kapsar.

# işareti, komutun root olarak yürütüldüğü anlamına gelir. Kök haklarına sahip bir konsolu önceden açın - Debian tabanlı sistemlerde sudo -i veya diğerlerinde su.

1. Durumu göster.

# iptables -L -n -v

Etkin olmayan bir güvenlik duvarı için örnek komut çıktısı:

Zincir GİRİŞ (politika KABUL 0 paket, 0 bayt) pkts bayt hedef koruma opt giriş çıkış kaynak hedefi Chain FORWARD (politika KABUL 0 paket, 0 bayt) pkts bayt hedef koruma opt giriş çıkış kaynak hedef Zincir ÇIKIŞ (politika KABUL 0 paketler, 0 bayt) pkts bayt hedef korumayı tercih etme çıkış kaynak hedef

Aktif bir güvenlik duvarı için:

Zincir GİRİŞ (ilke DROP 0 paket, 0 bayt) pkts bayt hedef koruma opt giriş çıkış kaynak hedef 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 durum GEÇERSİZ 394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 durum İLGİLİ,KURULUŞ 93 17292 Tümünü KABUL -- br0 * 0.0.0.0/0 0.0.0.0/0 1 142 Tümünü KABUL -- lo * 0.0.0.0/0 0.0.0.0/0 Zincir İLERİ (ilke DROP 0 paket, 0 bayt) pkts bayt hedef koruma opt ​​in çıkış kaynak hedef 0 0 Tümünü KABUL ET - br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 tümünü DROP - * * 0.0. 0.0/0 0.0 .0.0/0 durumu GEÇERSİZ 0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 PMTU'ya TCPMSS kelepçesi 0 0 tümünü KABUL ET -- * * 0.0.0.0/ 0 0.0.0.0 /0 durum İLGİLİ, KURULU 0 0 tümünde var -- vlan2 * 0.0.0.0/0 0.0.0.0/0 0 0 tümünde yok -- * vlan2 0.0.0.0/0 0.0.0.0/0 0 0 tümünü KABUL ET -- br0 * 0.0.0.0/0 0.0.0.0/0 Zincir ÇIKIŞI (politika 425 paketi KABUL ET, 113K bayt) pkts bayt hedef korumayı seçme çıkış kaynak hedef Zincirleme wanin (1 referans) pkts bayt hedef korumayı seçme kaynak dışı hedef Zincirleme çıkış (1 referans ) pkts bayt hedefi korumayı tercih etme kaynak dışı hedef

Nerede:
-L: Kuralların listesini göster.
-v: Ek bilgileri görüntüle. Bu seçenek arayüz adını, seçenekleri ve TOS maskelerini gösterir. Ayrıca "K", "M" veya "G" son eklerini de görüntüler.
-n: IP adresini ve bağlantı noktasını sayı olarak görüntüleyin (adları çözümlemek için DNS sunucularını kullanmadan. Bu, ekranı hızlandıracaktır).

2. Satır numaralarıyla birlikte kuralların listesini görüntüleyin.

# iptables -n -L -v --satır numaraları

Örnek çıktı:

Zincir GİRİŞ (ilke DROP) num hedef prot opt ​​kaynak hedef 1 DROP all -- 0.0.0.0/0 0.0.0.0/0 durum GEÇERSİZ 2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 durum İLGİLİ, KURULU 3 Tümünü KABUL ET -- 0.0.0.0/0 0.0.0.0/0 4 Tümünü KABUL ET -- 0.0.0.0/0 0.0.0.0/0 Zincirleme İLERİ (politika DROP) sayı hedef koruma opt kaynak hedef 1 Tümünü KABUL ET -- 0,0 .0.0/0 0.0.0.0/0 2 DROP all -- 0.0.0.0/0 0.0.0.0/0 durum GEÇERSİZ 3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp bayrakları:0x06/0x02 TCPMSS kelepçesi PMTU 4 Tümünü KABUL -- 0.0.0.0/0 0.0.0.0/0 durum İLGİLİ, KURULUM 5 tümünde -- 0.0.0.0/0 0.0.0.0/0 6 tümünde yok -- 0.0.0.0/0 0.0.0.0/0 7 Tümünü KABUL ET - - 0.0.0.0/0 0.0.0.0/0 Zincir ÇIKIŞ (politika KABUL) num hedef prot opt ​​kaynak hedefi Chain wain (1 referans) num hedef prot opt ​​kaynak hedefi Chain out (1 referans) num hedef koruma tercih kaynak hedef

Yeni kurallar eklemek için satır numaralarını kullanabilirsiniz.

3. INPUT veya OUTPUT kural zincirini görüntüleyin.

# iptables -L GİRİŞ -n -v
# iptables -L ÇIKIŞ -n -v --satır numaraları

4. Güvenlik duvarını durdurun, başlatın ve yeniden başlatın.

Sistemin kendi güçleri tarafından:
# hizmet ufw durağı
# hizmet ufw başlangıcı

Güvenlik duvarını durdurmak ve tüm kuralları kaldırmak için iptables komutlarını da kullanabilirsiniz:
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P GİRİŞ KABUL
# iptables -P ÇIKTI KABUL
# iptables -P İLERİ KABUL

Nerede:
-F: Tüm kuralları temizle.
-X: Zinciri silin.
-t tablo_adı: Bir tablo seçin (nat veya mangle) ve tüm kuralları kaldırın.
-P: Varsayılan eylemleri seçin (DROP, REJECT veya ACCEPT gibi).

5. Güvenlik duvarı kurallarını silin.

Satır numarasını mevcut kurallarla görüntülemek için:

# iptables -L ÇIKIŞ -n --satır numaraları
# iptables -L ÇIKTI -n --satır-numaraları | az
# iptables -L ÇIKTI -n --satır-numaraları | grep 202.54.1.1

IP adreslerinin bir listesini alalım. Soldaki numaraya bakın ve ilgili satırı silin. Örneğin 3 numara için:
# iptables -D GİRİŞ 3

Veya kaynak IP adresini (202.54.1.1) bulun ve kuraldan kaldırın:
# iptables -D GİRİŞ -s 202.54.1.1 -j DAMLA

Nerede:
-D: Zincirden bir veya daha fazla kuralı kaldırın.

6. Güvenlik duvarına bir kural ekleyin.

Bir zincire bir veya daha fazla kural eklemek için öncelikle listeyi satır numaralarını kullanarak görüntüleriz:
# iptables -L GİRİŞ -n --satır numaraları

Örnek çıktı:

Zincir GİRİŞ (ilke DROP) num hedef koruma opt kaynak hedef 1 DROP all -- 202.54.1.1 0.0.0.0/0 2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 durum YENİ,KURULDU

1. ve 2. satırların arasına kural eklemek için:
# iptables -I GİRİŞ 2 -s 202.54.1.2 -j DAMLA

Kuralın güncellenip güncellenmediğini kontrol edelim:
# iptables -L GİRİŞ -n --satır numaraları

Çıktı şu şekilde olacaktır:

Zincir GİRİŞ (ilke DROP) num hedef prot opt ​​kaynak hedef 1 DROP all -- 202.54.1.1 0.0.0.0/0 2 DROP all -- 202.54.1.2 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 durumu YENİ, KURULDU

7. Güvenlik duvarı kurallarını kaydedin.

iptables-save aracılığıyla:
# iptables-save > /etc/iptables.rules

8. Kuralların geri getirilmesi.

iptables-restore aracılığıyla
# iptables-geri yükleme

9. Varsayılan politikaları ayarlayın.

Tüm trafiği sıfırlamak için:
# iptables -P GİRİŞ DAMLA
# iptables -P ÇIKTI DÜŞÜMÜ
# iptables -P İLERİ BIRAKMA
# iptables -L -v -n

Yukarıdaki komutlardan sonra tek bir paket bile bu ana bilgisayardan ayrılmayacak.
#google.com'a ping atın

10. Yalnızca gelen bağlantıları engelleyin.

Sizin tarafınızdan başlatılmayan tüm gelen paketleri bırakmak ancak giden trafiğe izin vermek için:
# iptables -P GİRİŞ DAMLA
# iptables -P İLERİ BIRAKMA
# iptables -P ÇIKTI KABUL
# iptables -A GİRİŞ -m durum --durum YENİ, KURULU -j KABUL
# iptables -L -v -n

Giden paketlere ve yerleşik oturumlarda hatırlanan paketlere izin verilir.
#google.com'a ping atın

11. Genel ağdaki yalıtılmış ağların adreslerini sıfırlayın.

# iptables -A GİRİŞ -i eth1 -s 192.168.0.0/24 -j DAMLA

Yalıtılmış ağlar için IP adreslerinin listesi:
10.0.0.0/8 -j(A)
172.16.0.0/12(B)
192.168.0.0/16(C)
224.0.0.0/4 (ÇOKLU YAYIN D)
240.0.0.0/5 (E)
127.0.0.0/8 (GERİ DÖNGÜ)

12. Belirli bir IP adresinin engellenmesi.

1.2.3.4 saldırganının adresini engellemek için:
# iptables -A GİRİŞ -s 1.2.3.4 -j DAMLA
# iptables -A GİRİŞ -s 192.168.0.0/24 -j DAMLA

13. Gelen bağlantı noktası isteklerini engelleyin.

80 numaralı bağlantı noktasından gelen tüm istekleri engellemek için:
# iptables -A GİRİŞ -p tcp --dport 80 -j DAMLA
# iptables -A GİRİŞ -i eth1 -p tcp --dport 80 -j DAMLA

1.2.3.4 adresinden port 80 isteğini engellemek için:
# iptables -A GİRİŞ -p tcp -s 1.2.3.4 --dport 80 -j DAMLA
# iptables -A GİRİŞ -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DAMLA

14. Giden IP adresine gelen istekleri engelleyin.

Belirli bir alan adını engellemek için adresini öğrenin:
# host -facebook.com'da

Sonuç: facebook.com'un adresi 69.171.228.40'tır

69.171.228.40'ın CIDR'sini bulalım:
#whois 69.171.228.40 | grep CIDR

Çözüm:
CIDR: 69.171.224.0/19

69.171.224.0/19'a erişimi engelleyelim:
# iptables -A ÇIKIŞ -p tcp -d 69.171.224.0/19 -j DAMLA

Ayrıca engellemek için bir alan adı kullanabilirsiniz:
# iptables -A ÇIKTI -p tcp -d www.facebook.com -j DROP
# iptables -A ÇIKTI -p tcp -d facebook.com -j DROP

15. Olayı kaydedin ve sıfırlayın.

Sıfırlamadan önce paketlerin hareketini günlüğe kaydetmek için bir kural ekleyin:

# iptables -A GİRİŞ -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A GİRİŞ -i eth1 -s 10.0.0.0/8 -j DAMLA

Günlüğü kontrol edelim (varsayılan olarak /var/log/messages):
# tail -f /var/log/mesajlar
# grep -i --color "IP SAHİBİ" /var/log/messages

16. Olayı kaydedin ve sıfırlayın (kayıt sayısı sınırıyla).

Bölümün şişirilmiş bir günlükle doldurulmasını önlemek için giriş sayısını -m kullanarak sınırlayacağız. Örneğin, her 5 dakikada bir maksimum 7 satırı kaydetmek için:
# iptables -A GİRİŞ -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A GİRİŞ -i eth1 -s 10.0.0.0/8 -j DAMLA

16. Belirli MAC adreslerinden gelen trafiği sıfırlayın veya izin verin.

# iptables -A GİRİŞ -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
## *yalnızca 00:0F:EA:91:04:07 mac adresinden 8080 numaralı TCP bağlantı noktasına izin verin * ##
# iptables -A GİRİŞ -p tcp --hedef-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j KABUL

17. ICMP Ping isteklerine izin verin veya reddedin.

Ping'i devre dışı bırakmak için:
# iptables -A GİRİŞ -p icmp --icmp-type echo-request -j DROP
# iptables -A GİRİŞ -i eth1 -p icmp --icmp-type echo-request -j DROP

Belirli ağlara/ana bilgisayarlara izin ver:
# iptables -A GİRİŞ -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j KABUL

ICMP isteklerinin yalnızca bir kısmına izin ver:
### ** varsayılan gelen politikaların DROP olarak ayarlandığını varsayar ** ###
# iptables -A GİRİŞ -p icmp --icmp-type echo-reply -j KABUL
# iptables -A GİRİŞ -p icmp --icmp tipi hedef-ulaşılamaz -j KABUL
# iptables -A GİRİŞ -p icmp --icmp-type zaman aşımı -j KABUL
## ** isteğe yanıt vermemize izin verin ** ##
# iptables -A GİRİŞ -p icmp --icmp-type echo-request -j KABUL

18. Bir dizi bağlantı noktasını açın.

# iptables -A GİRİŞ -m durum --durum YENİ -m tcp -p tcp --dport 7000:7010 -j KABUL

19. Bir dizi adres açın.

## adres 192.168.1.100 ila 192.168.1.200 aralığındaysa bağlantı noktası 80'e (Apache) bağlantılara izin verin ##
# iptables -A GİRİŞ -p tcp --hedef-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j KABUL

## nat için örnek ##
# iptables -t nat -A POSTROUTING -j SNAT --kaynağa 192.168.1.20-192.168.1.25

20. Standart bağlantı noktalarını kapatın veya açın.

Bağlantı noktasını engellemek için ACCEPT'i DROP ile değiştirin.

## ssh tcp bağlantı noktası 22 ##
iptables -A GİRİŞ -m durum --durum YENİ -m tcp -p tcp --dport 22 -j KABUL
iptables -A GİRİŞ -s 192.168.1.0/24 -m durumu --state YENİ -p tcp --dport 22 -j KABUL

## bardak (baskı hizmeti) yerel ağ için udp/tcp bağlantı noktası 631 ##
iptables -A GİRİŞ -s 192.168.1.0/24 -p udp -m udp --dport 631 -j KABUL
iptables -A GİRİŞ -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j KABUL

## yerel ağ için NTP aracılığıyla zaman senkronizasyonu (udp bağlantı noktası 123) ##
iptables -A GİRİŞ -s 192.168.1.0/24 -m durumu --state YENİ -p udp --dport 123 -j KABUL

## tcp bağlantı noktası 25 (smtp) ##
iptables -A GİRİŞ -m durum --durum YENİ -p tcp --dport 25 -j KABUL

# dns sunucusu bağlantı noktaları ##
iptables -A GİRİŞ -m durum --durum YENİ -p udp --dport 53 -j KABUL
iptables -A GİRİŞ -m durum --durum YENİ -p tcp --dport 53 -j KABUL

## http/https www sunucu bağlantı noktası ##
iptables -A GİRİŞ -m durum --durum YENİ -p tcp --dport 80 -j KABUL
iptables -A GİRİŞ -m durum --durum YENİ -p tcp --dport 443 -j KABUL

## tcp bağlantı noktası 110 (pop3) ##
iptables -A GİRİŞ -m durum --durum YENİ -p tcp --dport 110 -j KABUL

## tcp bağlantı noktası 143 (imap) ##
iptables -A GİRİŞ -m durum --durum YENİ -p tcp --dport 143 -j KABUL

## Yerel ağ için Samba dosya sunucusu ##
iptables -A GİRİŞ -s 192.168.1.0/24 -m durumu --state YENİ -p tcp --dport 137 -j KABUL
iptables -A GİRİŞ -s 192.168.1.0/24 -m durumu --state YENİ -p tcp --dport 138 -j KABUL
iptables -A GİRİŞ -s 192.168.1.0/24 -m durumu --state YENİ -p tcp --dport 139 -j KABUL
iptables -A GİRİŞ -s 192.168.1.0/24 -m durumu --state YENİ -p tcp --dport 445 -j KABUL

## yerel ağ için proxy sunucusu ##
iptables -A GİRİŞ -s 192.168.1.0/24 -m durum --state YENİ -p tcp --dport 3128 -j KABUL

## yerel ağ için MySQL sunucusu ##
iptables -I GİRİŞ -p tcp --dport 3306 -j KABUL

21. Bir adres için sunucuya paralel bağlantı sayısını sınırlayın.

Kısıtlamalar için connlimit modülü kullanılır. İstemci başına yalnızca 3 ssh bağlantısına izin vermek için:
# iptables -A GİRİŞ -p tcp --syn --dport 22 -m bağlantı sınırı --bağlantı sınırı-yukarıda 3 -j REDDET

HTTP isteklerinin sayısını 20 olarak ayarlayın:
# iptables -p tcp --syn --dport 80 -m bağlantı sınırı --bağlantı sınırı 20'nin üstünde --bağlantı sınırı maskesi 24 -j DROP

Nerede:
--connlimit-above 3: Kuralın yalnızca bağlantı sayısı 3'ü aştığında uygulanacağını belirtir.
--connlimit-mask 24: Ağ maskesini belirtir.

iptables konusunda yardım

İptables ile ilgili yardım bulmak için man komutunu kullanın:
$ man iptables

Belirli komutlara ve hedeflere ilişkin yardımı görüntülemek için:
# iptables -j DROP -h

İptables kuralı kontrol ediliyor.

Açık/kapalı bağlantı noktalarının kontrol edilmesi:
# netstat -tulpn

Belirli bir bağlantı noktasının açıklığını/kapalılığını kontrol ediyoruz:
# netstat -tulpn | gr:80

İptables'ın 80 numaralı bağlantı noktasına bağlantıya izin verip vermediğini kontrol edelim:
# iptables -L GİRİŞ -v -n | grep 80

Aksi halde herkese açalım:
# iptables -A GİRİŞ -m durum --durum YENİ -p tcp --dport 80 -j KABUL

Telnet kullanarak kontrol edin
$ telnet ya.ru 80

Aşağıdakileri kontrol etmek için nmap'i kullanabilirsiniz:
$ nmap -sS -p 80 ya.ru

Iptables bir yöneticinin elinde harika bir araçtır. Kendinizi masaüstü Ubuntu'da kolayca ve basit bir şekilde korumanız gerekiyorsa, iptables için UFW adı verilen kullanışlı bir konsol eklentisi olduğunu ve bunun için GUFW grafik programının bulunduğunu bilmelisiniz. Video materyali Ubuntu'nuzu daha da güvenli hale getirmenize yardımcı olacaktır.

MikroTik'i nasıl yapılandıracağınızı bu üreticinin ekipmanlarıyla ilgili çevrimiçi bir kursta öğrenebilirsiniz. Kursun yazarı sertifikalı bir MikroTik eğitmenidir. Devamını yazının sonunda okuyabilirsiniz.

Makale, ICMP trafiğini engellemenin ne kadar tehlikeli olduğu sorusunu yanıtlıyor.

ICMP bir tartışma konusu

Birçok ağ yöneticisi, İnternet Kontrol Mesajı Protokolü'nün (ICMP) bir güvenlik riski olduğuna ve bu nedenle her zaman engellenmesi gerektiğine inanmaktadır. Protokolün bazı güvenlik sorunlarına sahip olduğu ve bazı isteklerin engellenmesi gerektiği doğrudur. Ancak bu bir neden değildir. tüm ICMP trafiğini engellemek için!

ICMP trafiğinin birçok önemli işlevi vardır; Bazıları sorun giderme için kullanışlıdır, diğerleri ise ağın düzgün çalışması için gereklidir. Aşağıda ICMP protokolünün bilmeniz gereken bazı önemli kısımları bulunmaktadır. Bunları ağınız üzerinden en iyi şekilde nasıl yönlendireceğinizi düşünmelisiniz.

Yankı isteği ve Yankı yanıtı

IPv4 – Yankı isteği (Tip8, Kod0) ve Yankı yanıtı (Tip0, Kod0)
IPv6 – Yankı isteği (Tip128, Kod0) ve Yankı yanıtı (Tip129, Kod0)

Ping'in sorun giderme için ilk araçlardan biri olduğunu hepimiz iyi biliyoruz. Evet, donanımınızda ICMP paket işlemeyi etkinleştirirseniz, bu, ana makinenizin artık keşfedilebilir olduğu anlamına gelir, ancak sizinki zaten 80 numaralı bağlantı noktasını dinlemiyor ve istemci isteklerine yanıt göndermiyor mu? Elbette DMZ'nizin gerçekten ağın ucunda olmasını istiyorsanız bu istekleri de engelleyin. Ancak ağınızdaki ICMP trafiğini engelleyerek güvenliğinizi güçlendirmeyeceksiniz; tam tersine, gereksiz derecede karmaşık bir sorun giderme sürecine sahip bir sistemle karşı karşıya kalacaksınız (“Lütfen ağ geçidinin ağ isteklerine yanıt verip vermediğini kontrol edin?”, “Hayır, ama bu beni hiç üzmüyor çünkü umurumda değil.” Hiçbir şey söylemeyeceğim!”).

Unutmayın, isteklerin belirli bir yöne gitmesine de izin verebilirsiniz; örneğin, ekipmanı, ağınızdan gelen Yankı istekleri İnternet'e gidecek ve İnternet'ten Yankı yanıtları ağınıza gidecek, ancak bunun tersi olmayacak şekilde yapılandırın.

Paket parçalanması gerekli (IPv4) / Paket çok büyük (IPv6)

IPv4 – (Tür3, Kod4)
IPv6 – (Tür2, Kod0)

ICMP protokolünün bu bileşenleri çok önemlidir çünkü bunlar, TCP protokolünün ayrılmaz bir parçası olan Yol MTU Keşfi'nin (PMTUD) önemli bir bileşenidir. İki ana bilgisayarın, TCP Maksimum Segment Boyutu (MSS) değerini, iki hedef arasındaki iletişim yolu boyunca en küçük MTU ile eşleşen bir değere ayarlamasına olanak tanır. Paketlerin yolu üzerinde gönderici veya alıcıdan daha küçük Maksimum İletim Birimi'ne sahip bir düğüm varsa ve bunlar bu çarpışmayı tespit edecek araçlara sahip değilse, trafik sessizce atılacaktır. Ve iletişim kanalında neler olduğunu anlamayacaksınız; diğer bir deyişle “mutlu günler sizin için gelecek.”

Parçalamayın – ICMP geçmeyecek!

Arayüz aracılığıyla iletilemeyecek kadar büyük olan IPv4 paketlerini Parçalama bit ayarıyla (çoğu!) veya IPv6 paketlerini (IPv6'da yönlendiriciler tarafından parçalanma olmadığını unutmayın) iletmek, yönlendiricinin paketi atmasına neden olur ve aşağıdaki ICMP hatalarıyla iletim kaynağına yanıt oluşturun: Parçalanma Gerekli ( Parçalanma Gerekli) veya Paket Çok Büyük ( Paket de büyük). Bu hataları içeren yanıtlar göndericiye geri döndürülemiyorsa, ACK paketlerinin teslimine ilişkin onay yanıtlarının bulunmadığı şeklinde yorumlanacaktır ( Teşekkür) alıcıdan tıkanıklık/kayıp olarak ve aynı zamanda atılacak olan paketlerin yeniden iletilmesi için kaynak olarak.

Böyle bir sorunun nedenini belirlemek ve hızlı bir şekilde çözmek zordur; TCP el sıkışma işlemi, küçük paketler içerdiğinden iyi çalışır, ancak toplu veri aktarımı meydana gelir gelmez, aktarımın kaynağı olmadığı için aktarım oturumu donar. hata mesajları alın.

Paket dağıtım yolunu keşfetme

RFC 4821, ağ trafiği katılımcılarının paket yolu araştırmasını kullanarak bu sorunu çözmelerine yardımcı olmak için tasarlanmıştır. (Yol MTU Keşfi (PLPMTUD). Standart, maksimum veri miktarını tespit etmenizi sağlar (Maksimum İletim Birimi (MTU) yararlı veri bloğunun maksimum boyutunu kademeli olarak artırarak protokol tarafından tek yinelemede iletilebilen (Maksimum Segment Boyutu (MSS) Vericiden alıcıya giden yol boyunca paketi parçalamadan mümkün olan maksimum boyutu bulmak için. Bu işlevsellik, İnternet Kontrol Mesajı Protokolü (ICMP) aracılığıyla hata yanıtlarının zamanında alınmasına olan bağımlılığı azaltır ve çoğu ağ cihazı yığınında ve istemci işletim sisteminde mevcuttur. Ne yazık ki, mümkün olan maksimum boyut hakkında doğrudan veri elde etmek kadar verimli değildir. İletilen paketlerin. Lütfen bu ICMP mesajlarının iletim kaynağına dönmesine izin verin, tamam mı?

Paket iletim süresi aşıldı

IPv4 – (Tür11, Kod0)
IPv6 – (Tür3, Kod0)

Traceroute, iki ana bilgisayar arasındaki ağ bağlantılarında sorun gidermeye yönelik, yolun her adımını ayrıntılı olarak açıklayan çok kullanışlı bir araçtır.

IP protokolü için veri paketi ömrünü içeren bir paket gönderir (Yaşama süresi (TTL) eşit 1 ilk yönlendiricinin, paketin yaşam süresini aştığını belirten bir hata mesajı (kendi IP adresi dahil) göndermesini sağlamak. Daha sonra TTL 2 ve benzeri bir paket gönderir. Bu prosedür paket yolu üzerindeki her bir düğümü tespit etmek için gereklidir.

NDP ve SLAAC (IPv6)

Yönlendirici Talebi (RS) (Tip133, Kod0)
Yönlendirici Reklamı (RA) (Type134, Code0)
Komşu Davet (NS) (Tip135, Kod0)
Komşu Anonsu (NA) (Tip136, Kod0)
Yönlendirme (Type137, Code0)

IPv4, OSI ağ modelinin 2. ve 3. katmanlarını eşlemek için Adres Çözümleme Protokolü'nü (ARP) kullanırken, IPv6, Komşu Keşif Protokolü (NDP) biçiminde farklı bir yaklaşım kullanır. NDP, yönlendirici keşfi, önek keşfi, adres çözümlemesi ve daha fazlasını içeren birçok özellik sağlar. NDP'ye ek olarak StateLess Adres Otomatik Yapılandırması (SLAAC), Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) kavramına benzer şekilde bir ağdaki bir ana bilgisayarı dinamik olarak yapılandırmanıza olanak tanır (ancak DHCPv6 daha ayrıntılı kontrol için tasarlanmıştır).

IP veri aktarım protokolünün düzgün çalışması için bu beş tür ICMP mesajının ağınız içinde (dış çevre göz ardı edilerek) engellenmemesi gerekir.

ICMP Tür Numaralandırması

İnternet Kontrol Mesajı Protokolü (ICMP), "tür" alanıyla tanımlanan birçok mesaj içerir.

Hız limitleri hakkında birkaç kelime

Bu makalede açıklananlar gibi ICMP mesajları çok yararlı olsa da, tüm bu mesajların oluşturulmasının yönlendiricilerinizde CPU zamanını aldığını ve trafik oluşturduğunu unutmayın. Normal bir durumda güvenlik duvarınız üzerinden saniyede 1000 ping alacağınızı gerçekten bekliyor musunuz? Bu normal trafik olarak kabul edilecek mi? Muhtemelen değil. Bu tür ICMP trafiği için ağ bant genişliğini uygun gördüğünüz şekilde sınırlayın; bu adım ağınızı güvenli hale getirmenize yardımcı olabilir.

Okuyun, Araştırın ve Anlayın

ICMP paketlerini "engellemek ya da engellememek" konusunu tartışmanın her zaman kafa karışıklığına, tartışmalara ve anlaşmazlıklara yol açtığını göz önünde bulundurarak, bu konuyu kendi başınıza incelemeye devam etmenizi öneririm. Bu sayfada birçok bağlantı verdim; konuların daha iyi anlaşılması için okumaya vakit ayırmanız gerektiğine inanıyorum. Ağınız için en iyi neyin işe yaradığı konusunda bilinçli seçimler yapın.

MikroTik: Çalıştırmak için nereye tıklamalı?
MikroTik ürünlerinin tüm avantajlarına rağmen bir dezavantajı vardır - konfigürasyonu hakkında çok sayıda dağınık ve her zaman güvenilir olmayan bilgi vardır. Her şeyin mantıksal ve yapılandırılmış bir şekilde toplandığı, Rusça olarak güvenilir bir kaynak öneriyoruz - video kursu " MikroTik ekipmanının kurulması" Kurs 162 video dersi, 45 laboratuvar çalışması, kendi kendine test soruları ve notları içermektedir. Tüm materyaller süresiz olarak yanınızda kalır. Kurs sayfasına istek bırakarak kursun başlangıcını ücretsiz olarak izleyebilirsiniz. Kursun yazarı sertifikalı bir MikroTik eğitmenidir.

İşletim sistemindeki ping yanıtlarının engellenmesi, ICMP paket taşması saldırılarını önleyebilir, ancak çoğu sistem bu hizmeti çevrimiçi izleme (sistem izleme) için kullanır. “Unix/Linux'ta Ping (ICMP) yanıtlarını engelle” başlıklı yazımda size bunu nasıl kapatabileceğinizi anlatacağım.

Sunucunun PING işlevini kullanarak sürekli olarak bir tür DoS saldırısıyla karşı karşıya kalması durumunda, bir sunucuya PING'in engellenmesi yararlı olur. IPTable'ları kullanırken, ICMP paketlerinin sunucuya geçişini engellemeyi (aslında PING'i engellemeyi) durdurabiliriz. Buna başlamadan önce Linux'ta Iptable'ların ne olduğuna dair bir fikre sahip olmanız gerekiyor. Iptables, gelen ve giden paketleri kontrol eden bir dizi kurala sahip bir güvenlik duvarı sistemidir. Iptables varsayılan olarak herhangi bir kural olmadan çalışır, kural oluşturabilir, ekleyebilir, düzenleyebilirsiniz.

iptables kullanarak Ping'i devre dışı bırakın

ICMP paket kontrol kuralları oluşturmak için gerekli olan iptables'daki bazı parametrelerin açıklaması:

C: Kurallar ekler.
-D: Kuralı tablodan kaldırır.
-p: Protokolü belirtme seçeneği (burada 'icmp').
--icmp-type: Türü belirtme seçeneği.
-J: Zincire git.

Aşağıda net örnekler vereceğim.

Hata mesajlarıyla bir sunucuda PING nasıl engellenir?
Böylece “Hedef Porta Ulaşılamıyor” hata mesajıyla PING’i kısmen engelleyebilirsiniz. PING'i bir hata mesajıyla engellemek için aşağıdaki Iptables kurallarını ekleyin:

# iptables -A GİRİŞ -p icmp --icmp-type echo-request -j REJECT

Engellemek Sunucudaki PING herhangi bir hata mesajı olmadan.
Bunu yapmak için IPtabels komutunu kullanın:

# iptables -A ÇIKTI -p icmp --icmp-tipi yankı-isteği -j DAMLA # iptables -A GİRİŞ -p icmp --icmp-tipi yankı-yanıt -j DROP

Sunucuya gelen ve giden tüm ICMP paketlerini engeller.

iptables kullanarak Ping'e izin ver

Sunucuda ping'i engellediyseniz ve onu nasıl geri alacağınızı bilmiyorsanız. Şimdi size bunu nasıl yapacağınızı anlatacağım. Bu, IPtables'a aşağıdaki kuralın eklenmesiyle yapılır:

# iptables -A GİRİŞ -p icmp --icmp-tipi yankı-isteği -j KABUL # iptables -A ÇIKIŞ -p icmp --icmp-tipi yankı-yanıt -j KABUL

Bu kurallar ICMP paketlerinin sunucudan ve sunucuya geçişine izin verecektir.

Çekirdek Parametreleriyle Ping Engelleme

Ping yanıtlarını doğrudan çekirdek parametreleriyle de engelleyebiliriz. Ping yanıtlarını geçici veya kalıcı olarak engelleyebilirsiniz ve aşağıda bunun nasıl yapılacağı gösterilmektedir.

Ping'i geçici olarak engelle
Aşağıdaki komutu kullanarak ping yanıtlarını geçici olarak engelleyebilirsiniz.

# yankı "1" >

Bu komutun engellemesini kaldırmak için aşağıdakileri çalıştırın:

# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

Ping'i tamamen reddet
Aşağıdaki parametreyi yapılandırma dosyasına ekleyerek ping yanıtlarını engelleyebilirsiniz:

# vim /etc/sysctl.conf

Ve yaz:

[...] net.ipv4.icmp_echo_ignore_all = 1 [...]

sysctl çalışma zamanında çekirdek parametrelerini değiştirmek için kullanılır, bu parametrelerden biri "ping arka plan programı" olabilir, eğer ping'i devre dışı bırakmak istiyorsanız aşağıdaki gibi bir şey yapmanız gerekir:

# sysctl -w net.ipv4.icmp_echo_ignore_all=1

Şimdi makineye ping atmayı deneyin, yanıt yok, değil mi? Ping'i yeniden etkinleştirmek için şunu kullanın:

# sysctl -w net.ipv4.icmp_echo_ignore_all=0

Bazı ayarları değiştirmek istiyorsanız W bayrağı kullanılır.

Şimdi sistemi yeniden başlatmadan ayarları hemen uygulamak için aşağıdaki komutu çalıştırın:

# sysctl -p

# sysctl --sistem

İşte tam yapılandırmam:

# cd /usr/local/src && wget http://site/wp-content/uploads/files/sysctl_conf.txt

ve sonra şunları yapabilirsiniz:

# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf

Benim için bu kadar, “Unix/Linux'ta Ping (ICMP) yanıtlarını engelleme” konusu tamamlandı.

Windows 2000/XP/2003 çalıştıran bilgisayarları Ping paketlerini engelleyecek şekilde nasıl yapılandırabilirim? Windows 2000/XP/2003, IPSec (IP Güvenliği) adı verilen yerleşik bir IP güvenlik mekanizmasına sahiptir. IPSec, bir ağ üzerinden iletilen bireysel TCP/IP paketlerini korumak için tasarlanmış bir protokoldür.

Ancak IPsec'in işleyişi ve tasarımı hakkında ayrıntılara girmeyeceğiz çünkü IPSec, şifrelemenin yanı sıra güvenlik duvarına benzer bir mekanizma ile sunucunuzu veya iş istasyonunuzu da koruyabilir.

Tek bir bilgisayarda PING'i engelleme

Bilgisayardan gelen ve bilgisayara giden tüm PING paketlerini engellemek için, tüm ICMP trafiğini engelleyecek bir IPSec politikası oluşturmamız gerekir. Öncelikle bilgisayarınızın ICMP isteklerine yanıt verip vermediğini kontrol edin:

Tek bir bilgisayar kurmak için şu adımları izlememiz gerekir:

Hadi yapılandıralımIP Filtre Listeleri ve Filtre Eylemlerinin listesi

1. Bir MMC penceresi açın (Başlat > Çalıştır > MMC).
2. IP Güvenliği ve İlke Yönetimi ek bileşenini ekleyin.

1. Bu politika tarafından hangi bilgisayarın kontrol edileceğini seçin; bizim durumumuzda bu, yerel bir bilgisayardır. Kapat'ı ve ardından Tamam'ı tıklayın.

1. MMC konsolunun sol yarısındaki IP Güvenlik Politikaları'na sağ tıklayın. IP Filtre Listelerini ve Filtre Eylemlerini Yönet'i seçin.

1. ICMP (PING'in çalıştığı protokol) için bir IP filtresi yapılandırmanıza veya oluşturmanıza gerek yoktur, çünkü böyle bir filtre varsayılan olarak zaten mevcuttur - Tüm ICMP Trafiği.

Bununla birlikte, isteğe bağlı olarak karmaşık bir IP filtresi yapılandırabilirsiniz; örneğin, birkaç belirli IP dışında bilgisayarınıza tüm IP'lerden ping atılmasını yasaklayabilirsiniz. IPSec ile ilgili bir sonraki makalelerden birinde IP filtreleri oluşturmaya daha yakından bakacağız, bizi izlemeye devam edin.

1. IP Filtreleme Listelerini ve Filtreleme eylemlerini Yönet penceresinde, filtrelerinizi gözden geçirin ve her şey yolundaysa Filtre Eylemlerini Yönet sekmesine tıklayın. Şimdi belirli trafiği engelleyecek bir filtre eylemi eklememiz gerekiyor, Ekle'ye tıklayın.

1. İlk karşılama penceresinde İleri'ye tıklayın.
2. Filtre Eylemi Adı alanına Blok yazın ve İleri'ye tıklayın.

1. Filtre Eylemi Genel Seçenekleri'nde Engelle'yi seçin ve ardından İleri'ye tıklayın.

1. IP Filtre Listelerini Yönet ve Filtre eylemleri penceresine geri dönün ve filtrelerinizi gözden geçirin ve her şey yolundaysa Kapat'a tıklayın. Dilediğiniz zaman filtreler ve filtre eylemleri ekleyebilirsiniz.

Bir sonraki adım IPSec politikasını yapılandırmak ve uygulamaktır.

IPSe politikasını yapılandırma

1. Aynı MMC konsolunda IP Güvenlik Politikaları'na sağ tıklayın ve IP Güvenlik Politikası Oluştur'u seçin.

1. İleri'yi tıklatarak sihirbazın karşılamasını atlayın.
2. IP Güvenlik Politikası Adı alanına duruma uygun bir ad girin; örneğin "PING'i Engelle". Sonrakine tıkla

1. Güvenli Bağlantı İstekleri penceresinde Varsayılan Yanıt Kuralını Etkinleştir onay kutusunun işaretini kaldırın. Sonrakine tıkla

1. Özellikleri düzenle onay kutusunu işaretleyin ve Son'a tıklayın.

1. Yeni IPSec politikasına IP filtreleri ve filtre eylemleri eklememiz gerekiyor. Yeni IPSec Politikası penceresinde Ekle'ye tıklayın.

1. Sonrakine tıkla.
2. Tünel Uç Noktası penceresinde varsayılan değerin seçildiğinden emin olun ve İleri'ye tıklayın.