Вопросы Теги

Таблицы IP должны быть настроены, или действительно ли одинокий брандмауэр достаточен?

Да существует множество способов сделать это. Можно использовать awk, perl, или bash сделать эти операции также. В целом, хотя sed вероятно, больше всего кстати инструмент для того, чтобы сделать эти типы задач.

Примеры

Скажите, что у меня есть эти демонстрационные данные в файле data.txt:

foo bar 12,300.50
foo bar 2,300.50
abc xyz 1,22,300.50

awk

$ awk '{gsub("foo", "foofoofoo", $0); print}' data.txt 
foofoofoo bar 12,300.50
foofoofoo bar 2,300.50
abc xyz 1,22,300.50

Perl

$ perl -pe "s/foo/foofoofoo/g" data.txt 
foofoofoo bar 12,300.50
foofoofoo bar 2,300.50
abc xyz 1,22,300.50

Встроенное редактирование

Вышеупомянутые примеры могут непосредственно изменить файлы также. Пример Perl тривиален. Просто добавьте -i переключатель.

$ perl -pie "s/foo/foofoofoo/g" data.txt

Для awk это является немного менее прямым, но столь же эффективным:

$ { rm data.txt && awk '{gsub("foo", "foofoofoo", $0); print}' > data.txt; } < data.txt

Этот метод создает подоболочку с фигурными скобками '{...}' Где файл перенаправляется в него через это: 

$ { ... } < data.txt

После того как файл был перенаправлен в подоболочку, он удален и затем awk выполняется против содержания файла, который был считан в подоболочки STDIN. Это содержание затем обрабатывается awk и записанный обратно к тому же имени файла, которое мы просто удалили, эффективно заменив его.

3
01.05.2014, 11:51
2 ответа

Использование iptables в конечном счете зависит от вас. Вы должны посмотреть на то, на что он способен и что вы хотите, чтобы он сделал. На очень высоком уровне, iptables может делать 3 вещи очень хорошо:

  1. Фильтровать входящий сетевой трафик
  2. Фильтровать исходящий сетевой трафик
  3. Журнальный трафик

Обычно, настройка iptables не нужна на системах, которые находятся позади жилого маршрутизатора, потому что такой маршрутизатор должен блокировать входящие пакеты по умолчанию. Если вы решили выставить службу в Интернет (например, ssh) и переадресовать порт на маршрутизаторе на сервер ssh в вашей сети, то использование iptables становится немного более актуальным. Его можно использовать для фильтрации трафика на основе исходного или конечного ip/network блока, контроля ошибок icmp, с помощью которых ваша система реагирует на нежелательный трафик, или даже для регистрации каждого пакета, отправленного кому угодно, когда угодно.

Вопрос действительно в том:

  • есть ли у вас на компьютерах какие-нибудь службы, которые вам не нужны. люди, с которыми можно взаимодействовать?
  • есть ли какие-нибудь внешние службы, с которыми вы не хотите, чтобы в вашей сети были люди. чтобы иметь возможность подключиться?
  • Сколько протоколирования вы хотите сделать?

Дополнительная информация:

CentOS iptables HOWTO

Ulogd

man iptables поиск REJECT

1
27.01.2020, 21:23
[117144] На самом деле, вы задаете несколько разных вопросов. Вот вопросы, которые Вы подняли, и моменты, которые необходимо рассмотреть: [12234]1) Ноутбуки, которые могут быть подключены к другим сетям, а не только к Вашему дому или университету, может быть, к кофейне, дому у бабушки или далекой гостинице; вы действительно ЗАПРЕЩАЕТСЯ запускать внутренний брандмауэр. Если это LINUX/UNIX, то iptables - хороший вариант. Вам понадобится Windows Defender для Microsoft и т.д. В противном случае, неважно, что у вас дома или в университете, ваше устройство всегда уязвимо, когда в сети не полностью проверено и защищено.[12235]2) Рабочие столы (по определению) не прыгают из локальной сети в локальную, они статичны. Однако, поскольку вы ввели в уравнение, что ваши устройства, находящиеся в локальной сети, могут быть скомпрометированы мобильными устройствами (например, ноутбуками), которые, в свою очередь, могут быть уязвимы, находясь в этих внешних сетях, вы приводите отличный аргумент о том, почему вам нужно запускать iptables и на своих настольных компьютерах. Троянский конь", ваш ноутбук или любое другое мобильное устройство могут быть заражены и использовать локальную сеть за брандмауэром для заражения других устройств.[12236]3) Наконец, мы часто забываем о других (немобильных) устройствах в нашем доме или университете за брандмауэром. Например, китайские военные очень хорошо заразили сетевые ПИНТЕРЫ. Эти принтеры не имеют внутренних брандмауэров и часто были доступны, потому что сетевое программное обеспечение Plug-n-Play фактически бросало брандмауэры на локальный маршрутизатор, чтобы позволить устройствам подключаться через общие порты принтера, такие как порты 170, 515, 631 и/или 9100, в зависимости от производителя. В настоящее время холодильники, дымовые пожарные сигнализации, телевизоры, вы называете их - они ВСЕ сетевые, обычно беспроводные и в вашей локальной сети. Таким образом, Вы думаете, что Ваша локальная сеть защищена брандмауэром и каким-то антивирусом на устройстве или двух, но безопасность не хуже, чем соблюдение правил брандмауэра/маршрутизатора, и не позволяет (или, по крайней мере, обнаруживает вскоре) неизвестные/непредсказуемые изменения, вносимые несметным количеством Plug-n-Play устройств, которые мы регулярно вносим в локальную сеть.[12237]Эти три сценария действительно показывают, что Вам абсолютно необходимо запускать iptables. И, зная это заранее, было бы действительно "больно", если бы настольный компьютер или ноутбук был скомпрометирован, когда в противном случае это было бы/могло/должно было бы быть предотвращено[117153].
2
27.01.2020, 21:23

Теги

Похожие вопросы