Listing 7.5 begins with a series of

Listing 7.5 begins with a series of six calls to iptables that ﬂ ush the ﬁ rewall rule chain and set the default policy. These lines ensure that when you run this script, you won ’ t add to an existing rule set, which could bloat the chains, thereby degrading performance and causing unexpected effects. The remaining lines are broken into four parts, each of which has two iptables calls. These parts set rules relating to speciﬁ c types of trafﬁ c: Loopback Interface Traffic The two lines that refer to 127.0.0.1 allow the computer to communicate with itself over the loopback interface ( lo ). The references to 127.0.0.1 and the associated - d and - s parameters are arguably a bit paranoid; anything coming over the lo interface should come from this address. DNS Queries Most systems rely on a DNS server to translate hostnames to IP addresses. To keep this system working, you must enable access to and from remote DNS servers, which run on UDP port 53. The DNS rules in Listing 7.5 are actually rather permissive, because they enable trafﬁ c to or from any DNS server to pass. In theory, a miscreant could run something other than a DNS server on UDP port 53 to use this rule to bypass your security. In practice, though, such abuse would be unlikely to work, because it would require something other than DNS on the local system to use the oddly conﬁ gured external client or server. If you like, you could add IP address restrictions to these lines to improve the security. Client Traffic The next two calls to iptables create a broad set of acceptance conditions. Network clients generally use high TCP ports — those numbered between 1024 and 65535. These rules, therefore, open those ports to access in both directions but with a twist: These rules use stateful packet inspection to ensure that NEW packets are allowed only on outgoing connections. The omission of the NEW state from the INPUT chain means that a server run on a high port (as an ordinary user might try in an attempt to get around your system ’ s security) won ’ t be able to accept connections. Both rules also omit the INVALID state, which can reduce the chance of a miscreant intercepting and “ hijacking ” an established connection. Local SSH Server Traffic The ﬁ nal two calls to iptables open a hole in the ﬁ rewall to enable local computers to make connections to the SSH server. This server runs on port 22, so trafﬁ c to and from that port and originating from or destined to the local ( 172.24.1.0/24 ) network is accepted. As with the client trafﬁ c rules, these rules employ stateful inspection as an added precaution. INVALID packets are rejected in both directions, and NEW packets are accepted only on input packets.
Configuring

0/5000

Từ: -

Sang: -

Kết quả (Việt) 1: [Sao chép]

Sao chép!

Danh sách 7,5 bắt đầu với một loạt các sáu cuộc gọi tới iptables đó ush FL ﬁ rewall cai trị chuỗi và đặt chính sách mặc định. Những dòng này đảm bảo rằng khi bạn chạy kịch bản này, bạn giành được ' t thêm vào một tập quy tắc hiện có, có thể sưng lên dây chuyền, do đó làm giảm đi hiệu suất và gây ra hiệu ứng bất ngờ. Đường còn lại được chia thành bốn phần, mỗi trong số đó có hai iptables cuộc gọi. Những bộ phận thiết lập quy tắc liên quan đến loại c speciﬁ trafﬁ c: lưu lượng truy cập giao diện Loopback hai dòng đề cập đến 127.0.0.1 cho phép máy tính kết nối với chính nó trong giao diện loopback (lo). Các tham chiếu đến 127.0.0.1 và liên kết - d và - s cho là một chút hoang tưởng; bất cứ điều gì đến hơn các lộ giao diện nên đến từ địa chỉ này. DNS truy vấn đặt hệ thống dựa vào một máy chủ DNS dịch tên máy chủ để địa chỉ IP. Để giữ cho hệ thống này làm việc, bạn phải kích hoạt truy cập đến và đi từ máy chủ DNS từ xa, mà chạy trên cổng UDP 53. Các quy tắc DNS trong danh sách 7,5 được thực sự khá permissive, bởi vì họ cho phép trafﬁ c đến hoặc từ bất kỳ máy chủ DNS để vượt qua. Trong lý thuyết, một hư có thể chạy một cái gì đó khác hơn so với một máy chủ DNS trên cổng UDP 53 sử dụng quy tắc này để vượt qua bảo mật của bạn. Trong thực tế, mặc dù, lạm dụng như vậy sẽ là dường như không làm việc, bởi vì nó sẽ yêu cầu một cái gì đó khác hơn so với DNS trên hệ thống địa phương để sử dụng kỳ quặc conﬁ gured bên ngoài khách hàng hoặc máy chủ. Nếu bạn thích, bạn có thể thêm các IP địa chỉ giới hạn đến những dòng này để cải thiện an ninh. Khách hàng giao thông tiếp theo hai cuộc gọi tới iptables tạo một tập hợp rộng các điều kiện chấp nhận. Mạng lưới khách hàng thường sử dụng cổng TCP cao — những số khoảng 1024 và 65535. Những quy tắc này, do đó, mở những cổng truy cập ở cả hai chiều, nhưng với một twist: các quy tắc sử dụng kiểm tra trạng thái gói để đảm bảo rằng gói mới được phép chỉ trên các kết nối đi. Những thiếu sót của chính phủ mới từ đầu vào chuỗi có nghĩa là một máy chủ chạy trên một cổng cao (như một người sử dụng bình thường có thể thử trong một nỗ lực để có được xung quanh thành phố của hệ thống an ninh) chiến thắng ' t có thể chấp nhận kết nối. Cả hai quy tắc cũng bỏ qua trạng thái không hợp lệ, mà có thể làm giảm cơ hội của một hư chặn và "cướp" kết nối được thành lập. Địa phương lưu lượng truy cập máy chủ SSH ﬁ nal hai cú đến iptables mở một lỗ trong rewall ﬁ để cho phép các máy tính địa phương để làm cho kết nối đến máy chủ SSH. Hệ phục vụ này chạy trên cổng 22, do đó, trafﬁ c đến và đi từ cảng và có nguồn gốc từ hoặc mệnh để địa phương (172.24.1.0/24) mạng được chấp nhận. Như với các khách hàng trafﬁ quy tắc c, những quy tắc này sử dụng các kiểm tra trạng thái như là một biện pháp phòng ngừa thêm. Gói dữ liệu không hợp lệ bị từ chối trong cả hai chiều, và gói mới được chấp nhận chỉ trên gói dữ liệu đầu vào. Configuring

đang được dịch, vui lòng đợi..

Kết quả (Việt) 2:[Sao chép]

Sao chép!

Bảng liệt kê 7.5 bắt đầu với một loạt sáu cuộc gọi đến iptables mà fl USH các fi chuỗi quy tắc công nghệ tường lửa và các thiết lập chính sách mặc định. Những dòng này đảm bảo rằng khi bạn chạy script này, bạn đã thắng 't thêm vào một bộ quy tắc hiện tại, có thể sưng lên chuỗi, do đó hiệu suất xuống cấp và gây hiệu ứng bất ngờ. Những dòng còn lại được chia thành bốn phần, mỗi trong số đó có hai cuộc gọi iptables. Những bộ phận thiết lập các quy tắc liên quan đến Speci fi c loại của traf fi c: Loopback Interface Giao thông Hai dòng mà chỉ đến 127.0.0.1 cho phép máy tính giao tiếp với chính nó qua các giao diện loopback (lo). Các tài liệu tham khảo để 127.0.0.1 và các liên kết - d và - s thông số được cho là một chút hoang tưởng; bất cứ điều gì đến toàn bộ bề lo nên đến từ địa chỉ này. DNS truy vấn lớn các hệ thống dựa trên một máy chủ DNS để dịch tên máy thành địa chỉ IP. Để giữ cho hệ thống làm việc này, bạn phải cho phép truy cập đến và đi từ các máy chủ DNS từ xa, mà chạy trên UDP cổng 53. Các quy tắc DNS trong Ví dụ 7.5 thực sự khá dễ dãi, vì họ cho phép traf fi c đến hoặc từ bất kỳ máy chủ DNS để vượt qua. Về lý thuyết, một người hèn hạ có thể chạy một cái gì đó khác hơn so với một máy chủ DNS trên UDP cổng 53 để sử dụng quy tắc này để bỏ qua bảo mật của bạn. Trong thực tế, mặc dù, lạm dụng như vậy sẽ không thể làm việc, bởi vì nó sẽ đòi hỏi một cái gì đó khác hơn so với DNS trên hệ thống địa phương để sử dụng các fi gured khách hàng hoặc máy chủ bên ngoài kỳ quặc con. Nếu bạn thích, bạn có thể thêm các giới hạn địa chỉ IP để những dòng này để cải thiện an ninh. Khách hàng giao thông Hai cuộc gọi tiếp theo để iptables tạo ra một tập hợp các điều kiện chấp nhận. Mạng lưới khách hàng thường sử dụng cổng TCP cao - những số giữa 1024 và 65535. Những quy định này, do đó, mở những cổng truy cập trong cả hai hướng, nhưng với một twist: Những quy tắc sử dụng kiểm tra gói stateful để đảm bảo rằng các gói MỚI chỉ được phép trên các kết nối đi . Các thiếu sót của nhà nước NEW từ chuỗi INPUT có nghĩa là một máy chủ chạy trên một cổng cao (như là một người dùng bình thường có thể thử trong một nỗ lực để có được xung quanh hệ thống của bạn "an ninh s) giành 't có thể chấp nhận các kết nối. Cả hai quy định này cũng bỏ qua trạng thái không hợp lệ, có thể làm giảm cơ hội của một người hèn hạ chặn và "cướp" một kết nối được thiết lập. Local SSH Server giao thông Các fi nal hai cuộc gọi đến iptables mở một lỗ trong các công nghệ tường lửa fi cho phép các máy tính địa phương để thực hiện kết nối đến máy chủ SSH. Máy chủ này chạy trên cổng 22, vì vậy traf fi c cho và từ đó cổng và có nguồn gốc từ từ hoặc để các (172.24.1.0/24) mạng lưới địa phương được chấp nhận. Như với các quy tắc fi c client traf, các quy tắc sử dụng kiểm tra stateful như phòng ngừa thêm. Các gói dữ liệu không hợp lệ bị từ chối theo cả hai hướng, và các gói MỚI chỉ được chấp nhận vào các gói tin đầu vào.
Cấu hình

đang được dịch, vui lòng đợi..

Kết quả (Việt) 3:[Sao chép]

Sao chép!

đang được dịch, vui lòng đợi..

Các ngôn ngữ khác

Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.