O acesso aos serviços de rede QRadar é controlado primeiro em hosts com iptables. As regras de iptables são ajustadas e configuradas com base nos
requisitos da implementação. As portas para procura, fluxo e horários Ariel quando você está usando a
criptografia (tunelamento) podem atualizar várias regras de iptables.
Sobre esta tarefa
É possível configurar e verificar as regras de iptables para IPv4 e
IPv6. O procedimento a seguir indica como é possível ajustar seus iptables
manualmente.
Procedimento
- Faça login no QRadar como o usuário root usando SSH.
Login: <root>
Senha: <password>
- Digite o comando a seguir para editar o arquivo de iptables de pré-regras:
IPv4:
vi /opt/qradar/conf/iptables.pre
IPv6:
vi /opt/qradar/conf/ip6tables.pre
O arquivo de configuração iptables.pre é exibido.
- Digite o comando a seguir para editar o arquivo de iptables de pós-regras.
IPv4:
vi /opt/qradar/conf/iptables.post
IPv6:
vi /opt/qradar/conf/ip6tables.post
O arquivo de configuração iptables.post é exibido.
- Adicionar a regra a seguir para QRadar acessar um número de porta específico, onde portnumber é o número da porta:
Para aceitar o tráfego UDP para uma entrada de porta específica:
-A INPUT -m udp -p udp --dport <portnumber> -j
ACCEPT
Para aceitar o tráfego TCP para uma entrada de porta específica:
-A INPUT -m state --state NEW -m tcp -p tcp --dport <portnumber>
-j ACCEPT
- Salve sua configuração de iptables.
- Execute o script a seguir para propagar as mudanças:
/opt/qradar/bin/iptables_update.pl
- Digite os seguintes comandos para verificar iptables existentes:
IPv4:
iptables -L -n -v
IPv6:
ip6tables -L -n -v