Der Zugriff auf die QRadar -Netzservices wird zuerst auf Hosts mit iptables gesteuert. Die iptables-Regeln werden auf
Basis der Anforderungen der Implementierung angepasst und konfiguriert. Ports
für Ariel-Suche, -Streaming und -Zeiten bei Verwendung einer Verschlüsselung
(Tunnelung) können verschiedene iptables-Regeln aktualisieren.
Informationen zu dieser Task
Sie können iptables-Regeln für IPv4 und IPv6 konfigurieren und
aktivieren. Die folgende Vorgehensweise zeigt, wie Sie iptables manuell
optimieren können.
Vorgehensweise
- Melden Sie sich bei QRadar als Rootbenutzer mit SSH an.
Anmeldung: <root>
Kennwort: <password>
- Geben Sie folgenden Befehl ein, um die iptables-Datei mit den
Prerouting-Regeln zu bearbeiten:
IPv4:
vi /opt/qradar/conf/iptables.pre
IPv6:
vi /opt/qradar/conf/ip6tables.pre
Die Konfigurationsdatei iptables.pre wird angezeigt.
- Geben Sie folgenden Befehl ein, um die iptables-Datei mit den
Postrouting-Regeln zu bearbeiten:
IPv4:
vi /opt/qradar/conf/iptables.post
IPv6:
vi /opt/qradar/conf/ip6tables.post
Die Konfigurationsdatei iptables.post wird angezeigt.
- Fügen Sie die folgende Regel für QRadar hinzu, um auf eine bestimmte Portnummer zuzugreifen, wobei Portnummer die Portnummer ist:
Um UDP-Datenverkehr an einem bestimmten Port zu akzeptieren:
-A INPUT -m udp -p udp --dport <portnumber> -j
ACCEPT
Um TCP-Datenverkehr an einem bestimmten Port zu akzeptieren:
-A INPUT -m state --state NEW -m tcp -p tcp --dport <portnumber>
-j ACCEPT
- Speichern Sie die iptables-Konfiguration.
- Führen Sie folgendes Script aus, um die Änderungen weiterzugeben:
/opt/qradar/bin/iptables_update.pl
- Geben Sie folgende Befehle ein, um zu prüfen, ob iptables vorhanden ist:
IPv4:
iptables -L -n -v
IPv6:
ip6tables -L -n -v