Gelişmiş iptables kuralları örnekleri

Iptables ile SSH ' ye erişimin engellenmesi

Konsollar ve yönetilmeyen anasistemler, herhangi gelen istekten SSH ' ye izin verir. Dağıtıma bir anasistem eklendiğinde, yönetilen anasistemler QRadar Console' den SSH erişimine izin verir ve konsol, 22 numaralı kapıyı gelen bağlantılar için açık tutar. Bir anasistemin iptables kurallarını değiştirerek, 22 numaralı kapıdaki gelen bağlantıları sınırlayabilirsiniz.

Konsolunuzdaki diğer yönetilen anasistemlerden SSH erişimini engelleyebilirsiniz, bu da şifrelenmiş bağlantıları bozabilir.

-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.41 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.59 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -j DROP

ICMP ' nin QRadar sistemlerine etkinleştirme

Aşağıdaki kuralı /opt/qradar/conf/iptables.pre dosyasına ekleyerek QRadar sisteminizden ping yanıtlarını etkinleştirebilirsiniz.

-A INPUT -p icmp -j ACCEPT

/etc/sysconfig/iptables dosyasında bir girdi oluşturmak için aşağıdaki komut dosyasını çalıştırın.

İstenmeyen veri kaynaklarının engellenmesi

Bir günlük kaynağı ya da bir ağ akışı veri kaynağı gibi bir veri kaynağını, özgün aygıtı devre dışı bırakmak yerine kısa bir süre için engelleyebilirsiniz. Belirli bir anasistemi engellemek için, aşağıdakine benzer bir girişi /opt/qradar/conf/iptables.pre' e ekleyebilirsiniz.

-A INPUT -p udp -s <IP Address> --dport 2055 -j REJECT

-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT