L'accès aux services réseau QRadar est d'abord contrôlé sur les hôtes avec iptables. Les règles iptables sont ajustées et configurées en fonction des exigences du déploiement. Les ports pour la recherche d'Ariel, le streaming et les heures lorsque vous utilisez le chiffrement (tunneling) peuvent mettre à jour diverses règles iptables.
A propos de cette tâche
Vous pouvez configurer et vérifier les règles iptables pour IPv4 et IPv6. La procédure suivante indique comment vous pouvez régler vos iptables manuellement.
Procédure
- Connectez-vous à QRadar en tant qu'utilisateur root à l'aide de SSH.
Connexion: <root>
Mot de passe: <password>
- Entrez la commande suivante pour éditer le fichier prérègles iptables :
IPv4:
vi /opt/qradar/conf/iptables.pre
IPv6:
vi /opt/qradar/conf/ip6tables.pre
Le fichier iptables.pre de configuration s'affiche.
- Entrez la commande suivante pour éditer le fichier iptables de post-règles :
IPv4:
vi /opt/qradar/conf/iptables.post
IPv6:
vi /opt/qradar/conf/ip6tables.post
Le fichier de configuration iptables.post s'affiche.
- Ajoutez la règle suivante pour que QRadar puisse accéder à un numéro de port spécifique, où portnumber est le numéro de port:
Pour accepter le trafic UDP pour une entrée de port spécifique :
-A INPUT -m udp -p udp --dport <portnumber> -j
ACCEPT
Pour accepter le trafic TCP pour une entrée de port spécifique :
-A INPUT -m state --state NEW -m tcp -p tcp --dport <portnumber>
-j ACCEPT
- Sauvegardez votre configuration iptables.
- Exécutez le script suivant pour propager les modifications :
/opt/qradar/bin/iptables_update.pl
- Entrez les commandes suivantes pour rechercher les tables iptables existantes :
IPv4:
iptables -L -n -v
IPv6:
ip6tables -L -n -v